クライアント認証における制約の厳密化
概要
Authlete 2.0 ではクライアントタイプおよびクライアント認証方式の設定値の検証がより厳密になり、Authlete 1.1では許容されていたリクエストを拒否するように変更されました。
変更点
具体的な変更点については、下記のとおりです。
Authlete 1.1 から 2.0 への移行時の注意点
Authlete 1.1 では、設定されたクライアント認証方式が client_secret_basic であったとしても、トークンリクエストのリクエストボディにクライアントシークレットが埋め込まれていた場合には、その値を検証します。
一方 Authlete 2.0 では、client_secret_basic として設定されている場合には Authorization ヘッダーにクライアントシークレットが含まれていることが必須となります。したがって上記のような、Authlete 1.1 では許容されていたリクエストについては、エラーが返却されることになります。
具体的には、下記ポイントに注意しつつ、設定を変更ください。
クライアントがパブリッククライアントの場合
- サービス側の設定にて、サポートするクライアント認証方式に「NONE」が含まれていることを確認する。
- クライアント側の設定にて、 クライアント認証方式が「NONE」になっていることを確認する。
- クライアントからのトークンリクエスト中に client_id が含まれていることを確認する。
クライアントがコンフィデンシャルクライアントの場合
- サービス側の設定にて、サポートするクライアント認証方式が正しく設定されていることを確認する。
- クライアント側の設定にて、クライアント認証方式が正しく設定されていることを確認する。
- Authlete の /auth/token API をコールする際に、適切なパラメーターが設定されていることを確認する。
How did we do with this article?