OAuth/WRAP : 4 Accessing a Protected Resource (0.9.7.2 )

Google Docs

要は(wrap_)access_token変数を使えということ。失敗したら401のステータスでWWW-AuthenticateにWRAPを返す。

4 Accessing a Protected Resource(リソースにアクセスする)

Clients always present an Access Token to access a Protected Resource.  See section 5 for how the Client acquires an Access Token. 
Use of the Authorization header is RECOMMENDED, since HTTP implementations are aware that Authorization headers have special security properties and may require special treatment in caches and logs.
Protected Resources SHOULD take precautions to insure that Access Tokens are not inadvertently logged or captured. 
In addition to the methods presented here, the Protected Resource MAY allow the Client to present the Access Token using any scheme agreed on by the Client and Protected Resource.

ClientはAccessTokenを提示してProtectedResourceにアクセスします。
Authorizationヘッダー(Authzヘッダー)を使うことがが"推奨"です。HTTPの実装ではAuthzヘッダーはAuthzヘッダーは特別のセキュリティプロパティであり、キャッシュやログに特別な扱いが必要です。
Protected ResourceはAccessTokenがうっかりしてログされたり盗み見されたりしないように危険な状態かどうか確認すべきです。

4.1 Access Token

The exact format of the Access Token is opaque to Clients and is out of scope of this specification. 
However, Protected Resources MUST be able to verify that the Access Token was issued by a trusted Authorization Server and is still valid. 
Access Tokens SHOULD periodically expire.  The expiry time of Access Tokens is determined as an appropriate balance between excessive resource utilization if too short and unauthorized access if too long. 

AccessTokenはクライアントには容易に解析できないようになっていなければならない。
Protected ResourceはAccessTokenが親鸞できるAuthzServerで発行されて正しいものであることを検証できる必要がある。
AccessTokenは定期的に無効にされるべき。AccessTokenの有効期限はリソースと期間を考えて適切に決める。

4.2 Client Calls Protected Resource Using HTTP Header (HTTPヘッダーを使う)

The Protected Resource SHOULD enable Clients to access the Protected Resource by including the Access Token in the HTTP Authorization header using the OAuth WRAP scheme with the following parameter:

ClientがProtectedResourceに対してHTTP Authz ヘッダーにAccessTokenを入れることでアクセスできるように定義している。

    access_token

        REQUIRED.  The value of the Access Token (access_token: AccessTokenの値)

For example, if the Access Token is the string 123456789, the HTTP header would be: (アクセストークンの例)

    Authorization: WRAP access_token=”123456789”

If the Access Token has expired or is invalid, the Protected Resource MUST return:(有効期限切れだったらProtectedResourceは次のステータスを返す)

    HTTP 401 Unauthorized

and the HTTP header: (ヘッダーにWRAPを返すこと)

    WWW-Authenticate: WRAP

4.3 Client Calls Protected Resource Using URL Parameter ( URLのパラメータを使う)

The Protected Resource MAY allow the Client to access protected resources at the Protected Resource by including the following parameter in the URL:

    wrap_access_token

        REQUIRED.  The value of the Access Token

If the Access Token has expired or is invalid, the Protected Resource MUST return:

    HTTP 401 Unauthorized

and the HTTP header:

    WWW-Authenticate: WRAP

4.4 Client Calls Protected Resource Using Post Parameter (POSTパラメータを使う)

The Protected Resource MAY allow the Client to access protected resources at the Protected Resource by including the following parameter in the body of a HTTP post message formatted as application/x–‐www–‐form–‐urlencoded per 17.13.4 of HTML 4.01:

    wrap_access_token

        REQUIRED.  The value of the Access Token

If the Access Token has expired or is invalid, the Protected Resource MUST return:

    HTTP 401 Unauthorized

and the HTTP header:

    WWW-Authenticate: WRAP

カテゴリー: 未分類 パーマリンク

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中