ホーム > 情報処理安全確保支援士試験 > 2015年 秋期
情報処理安全確保支援士試験 2015年 秋期 午前2 問17
OAuth 2.0において,WebサービスAの利用者Cが,WebサービスBにリソースDを所有している。利用者Cの承認の下,WebサービスAが,リソースDへの限定的なアクセス権限を取得するときのプロトコルOAuth 2.0の動作はどれか。
ア:WebサービスAが,アクセストークンを発行する。
イ:WebサービスAが,利用者Cのディジタル証明書をWebサービスBに送信する。
ウ:WebサービスBが,アクセストークンを発行する。(正解)
エ:WebサービスBが,利用者Cのディジタル証明書をWebサービスAに送信する。
解説
OAuth 2.0における限定的アクセス権限取得の動作【午前2 解説】
要点まとめ
- 結論:OAuth 2.0ではリソース所有者の承認を得て、リソースサーバ(WebサービスB)がアクセストークンを発行します。
- 根拠:アクセストークンはリソースサーバが発行し、クライアント(WebサービスA)がそれを使って限定的アクセスを行います。
- 差がつくポイント:アクセストークンの発行主体がリソースサーバか認可サーバかを正確に理解することが重要です。
正解の理由
OAuth 2.0の基本的な流れでは、利用者C(リソース所有者)がWebサービスA(クライアント)に対して、WebサービスB(リソースサーバ)上のリソースDへのアクセス権限を限定的に与えます。この際、WebサービスBまたは認可サーバがアクセストークンを発行し、そのトークンを用いてWebサービスAがリソースにアクセスします。したがって、アクセストークンを発行するのはWebサービスBであり、選択肢ウが正解です。
よくある誤解
アクセストークンを発行するのはクライアント側(WebサービスA)ではなく、リソースサーバや認可サーバである点を誤解しやすいです。ディジタル証明書の送信はOAuth 2.0の標準的な動作ではありません。
解法ステップ
- OAuth 2.0の役割を整理する(クライアント、リソース所有者、リソースサーバ、認可サーバ)。
- アクセストークンの発行主体を確認する。
- 利用者の承認を得て、アクセストークンが発行される流れを理解する。
- 選択肢の内容とOAuth 2.0の標準動作を照合する。
- アクセストークン発行者がWebサービスB(リソースサーバ)である選択肢を選ぶ。
選択肢別の誤答解説
- ア: WebサービスAがアクセストークンを発行するのは誤り。アクセストークンはクライアントではなくリソースサーバや認可サーバが発行します。
- イ: 利用者のディジタル証明書をWebサービスBに送信する動作はOAuth 2.0の仕様に含まれません。
- ウ: WebサービスBがアクセストークンを発行するのが正解です。
- エ: 利用者のディジタル証明書をWebサービスAに送信する動作もOAuth 2.0の標準的な流れではありません。
補足コラム
OAuth 2.0は認可フレームワークであり、アクセストークンを用いて第三者クライアントに限定的なリソースアクセスを許可します。アクセストークンは認可サーバが発行することが多いですが、問題文の文脈ではWebサービスBがリソースサーバ兼認可サーバの役割を担っていると解釈できます。ディジタル証明書はOAuth 2.0の認証方式ではなく、主にTLSやPKIで用いられます。
FAQ
Q: OAuth 2.0でアクセストークンは誰が発行しますか?
A: 通常は認可サーバが発行しますが、リソースサーバが兼ねる場合もあります。
A: 通常は認可サーバが発行しますが、リソースサーバが兼ねる場合もあります。
Q: OAuth 2.0で利用者のディジタル証明書は使われますか?
A: いいえ。OAuth 2.0はアクセストークンを用いた認可フレームワークであり、ディジタル証明書は直接関係しません。
A: いいえ。OAuth 2.0はアクセストークンを用いた認可フレームワークであり、ディジタル証明書は直接関係しません。
関連キーワード: OAuth 2.0, アクセストークン, リソースサーバ, 認可サーバ, クライアント認可, 限定的アクセス権限