ホーム > 情報処理安全確保支援士試験 > 2017年 春期
情報処理安全確保支援士試験 2017年 春期 午前2 問14
特定の利用者が所有するリソースが,WebサービスA上にある。OAuth2.0において,その利用者の認可の下,WebサービスBからそのリソースへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。
ア:WebサービスAが,アクセストークンを発行する。(正解)
イ:WebサービスAが,利用者のディジタル証明書をWebサービスBに送信する。
ウ:WebサービスBが,アクセストークンを発行する。
エ:WebサービスBが,利用者のディジタル証明書をWebサービスAに送信する。
解説
OAuth2.0におけるリソースアクセスのプロトコル動作【午前2 解説】
要点まとめ
- 結論:WebサービスAがアクセストークンを発行し、WebサービスBに限定的なアクセス権を与えるのが正しい動作です。
- 根拠:OAuth2.0はリソース所有者の認可を得て、リソースサーバー(WebサービスA)がアクセストークンを発行し、クライアント(WebサービスB)がそれを使ってアクセスします。
- 差がつくポイント:アクセストークンの発行元と利用者の役割を正確に理解し、ディジタル証明書の送信はOAuth2.0の基本フローに含まれないことを押さえましょう。
正解の理由
OAuth2.0では、リソース所有者(利用者)が認可を与えた後、リソースサーバー(WebサービスA)がアクセストークンを発行します。このアクセストークンをWebサービスBが受け取り、限定的にリソースへアクセスします。アクセストークンはアクセス権限を示す証明書のようなもので、WebサービスAが発行するのが正しいため、選択肢アが正解です。
よくある誤解
アクセストークンを発行するのはクライアント側(WebサービスB)ではなく、リソースサーバー側(WebサービスA)である点を誤解しやすいです。ディジタル証明書の送信はOAuth2.0の標準フローには含まれません。
解法ステップ
- OAuth2.0の基本構成要素(リソース所有者、リソースサーバー、クライアント)を確認する。
- アクセストークンの発行元はリソースサーバーであることを理解する。
- 利用者の認可を得て、リソースサーバーがアクセストークンを発行する流れを思い出す。
- 選択肢の中でアクセストークンを発行するのがWebサービスA(リソースサーバー)であるものを選ぶ。
- ディジタル証明書の送信はOAuth2.0のプロトコルには含まれないため除外する。
選択肢別の誤答解説
- ア: WebサービスAがアクセストークンを発行する → 正解。リソースサーバーがアクセストークンを発行し、クライアントに限定的アクセスを許可する。
- イ: WebサービスAが利用者のディジタル証明書をWebサービスBに送信する → OAuth2.0の標準フローにない動作で誤り。
- ウ: WebサービスBがアクセストークンを発行する → クライアントはアクセストークンを受け取る側であり、発行はしない。
- エ: WebサービスBが利用者のディジタル証明書をWebサービスAに送信する → これもOAuth2.0の基本的な動作ではなく誤り。
補足コラム
OAuth2.0は認可フレームワークであり、アクセストークンを用いて第三者クライアントに限定的なリソースアクセスを許可します。アクセストークンはリソースサーバーが発行し、クライアントはそれを使ってAPIなどにアクセスします。ディジタル証明書は主にTLS通信や認証局で使われ、OAuth2.0の認可フローとは別の技術です。
FAQ
Q: OAuth2.0でアクセストークンは誰が発行しますか?
A: リソースサーバーまたは認可サーバーが発行し、クライアントがそれを利用してリソースにアクセスします。
A: リソースサーバーまたは認可サーバーが発行し、クライアントがそれを利用してリソースにアクセスします。
Q: ディジタル証明書はOAuth2.0の認可フローで使われますか?
A: いいえ。ディジタル証明書は主に通信の暗号化や認証に使われ、OAuth2.0のアクセストークン発行とは別の技術です。
A: いいえ。ディジタル証明書は主に通信の暗号化や認証に使われ、OAuth2.0のアクセストークン発行とは別の技術です。
関連キーワード: OAuth2.0, アクセストークン, リソースサーバー, 認可フロー, Webサービス