The OAuth 2.0 Authorization Framework: Bearer Token Usage(日本語)
Bearer Tokenというのは、署名なしトークンで、上記に書いてあるのは、アクセストークンが署名なしトークンの場合に、保護リソースを要求する方法。これがBearer認証スキームと呼ばれているらしい。推奨される送り方は、Authorizationリクエストヘッダフィールドを用いる方法で、下記のようにやる。
GET /resource HTTP/1.1 Host: server.example.com Authorization: Bearer mF_9.B5f-4.1JqM
レスポンスは、WWW-Authenticate ヘッダフィールドを含めるとか色々書いてある。 なんか単純すけど、セキュリティ高めるために暗号化したり、https接続したり、クッキーに保存するなとか、TLS証明書チェインを検証しろとか、有効期間を短くしろとかが書いてある。
mixi PlatformがOAuth 2.0の最新仕様に対応しました これ見ると、アクセストークンは署名つきだったけど、https使えば署名なくてもいいんじゃないか的な感じで、アクセストークンのbearer認証スキームが生まれたのかなと思った。
