Logicky Blog

Logickyの開発ブログです

Bearer Token

The OAuth 2.0 Authorization Framework: Bearer Token Usage(日本語)

Bearer Tokenというのは、署名なしトークンで、上記に書いてあるのは、アクセストークンが署名なしトークンの場合に、保護リソースを要求する方法。これがBearer認証スキームと呼ばれているらしい。推奨される送り方は、Authorizationリクエストヘッダフィールドを用いる方法で、下記のようにやる。

GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM

レスポンスは、WWW-Authenticate ヘッダフィールドを含めるとか色々書いてある。 なんか単純すけど、セキュリティ高めるために暗号化したり、https接続したり、クッキーに保存するなとか、TLS証明書チェインを検証しろとか、有効期間を短くしろとかが書いてある。

mixi PlatformがOAuth 2.0の最新仕様に対応しました これ見ると、アクセストークンは署名つきだったけど、https使えば署名なくてもいいんじゃないか的な感じで、アクセストークンのbearer認証スキームが生まれたのかなと思った。