OAuth 2.0フローとは何ですか？

OAuth 2.0の認可プロセスにおける一連のやり取り。用途に応じて認可コードフロー、クライアントクレデンシャルフローなどがある。

OAuth 2.0フローのポイントは？

認可コードフロー（Authorization Code Flow）が最も安全で推奨。PKCE（Proof Key for Code Exchange）でSPAやモバイルアプリも安全に。クライアントクレデンシャルフローはサーバー間通信用。インプリシットフローは非推奨、デバイスコードフローはIoT/TV向け

【おーおーすにーてんぜろふろー】

OAuth 2.0フローとは？

💡 「誰に何を許可するか」の手続きパターン

📌 このページのポイント

認可コードフロー（Authorization Code Flow）が最も安全で推奨
PKCE（Proof Key for Code Exchange）でSPAやモバイルアプリも安全に
クライアントクレデンシャルフローはサーバー間通信用
インプリシットフローは非推奨、デバイスコードフローはIoT/TV向け

OAuth 2.0 認可コードフローのイメージ

ひよこ

認可コードフローってどんな流れ？

ペンギン先生

①アプリがユーザーを認可サーバーにリダイレクト、②ユーザーがログインして権限を許可、③認可サーバーがアプリにリダイレクトして認可コードを渡す、④アプリがサーバーサイドで認可コードをアクセストークンに交換。認可コードは使い捨てで短命。トークン交換がサーバーサイドで行われるから安全なんだよ

ひよこ

PKCEって何？

ペンギン先生

Proof Key for Code Exchangeの略。SPAやモバイルアプリにはclient_secretを安全に保存できないから、代わりにランダムなcode_verifierとそのハッシュ（code_challenge）を使う。認可リクエスト時にcode_challengeを送り、トークン交換時にcode_verifierを送る。これで認可コードを横取りされても悪用できないんだよ

ひよこ

どのフローを選べばいい？

ペンギン先生

Webアプリ（サーバーサイドあり）は認可コードフロー、SPA・モバイルは認可コードフロー＋PKCE、サーバー間通信はクライアントクレデンシャルフロー、TVやIoTデバイスはデバイスコードフロー。インプリシットフローは脆弱性が見つかっているので使わないこと。迷ったら認可コード＋PKCEが安全だよ

ひよこ

アクセストークンとリフレッシュトークンの違いは？

ペンギン先生

アクセストークンはAPIアクセスに使う短命（数分〜数時間）のトークン。リフレッシュトークンは新しいアクセストークンを取得するための長命（数日〜数週間）のトークン。アクセストークンが期限切れになったらリフレッシュトークンで更新する。リフレッシュトークンは安全に保存して、漏洩したら即座に無効化するんだよ

まとめ：ざっくりこれだけ覚えればOK！

「OAuth 2.0フロー」って出てきたら「認可を得るための通信手順のパターン」と思えればだいたいOK！

📖 おまけ：英語の意味

「OAuth 2.0 Flow / Grant Type」＝認可フロー

💬 Grant Type（認可種別）とも呼ぶ。用途に応じたフローを選ぶんだよ

← 用語集にもどる

OAuth 2.0フロー とは？

OAuth 2.0フローとは？