Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

title: “OAuth2 / OIDC テスト項目表(原案)” version: “0.1-draft”

OAuth2 / OIDC テスト項目表(原案)

本チェックリストは、OAuth2 / OpenID Connect(OIDC)ベースの認証・認可実装を評価するための観点を整理したものである。

クライアント登録・リダイレクト URI

  • リダイレクト URI が事前登録制となっている
  • ワイルドカードやオープンリダイレクトを許容していない
  • 本番・検証環境でクライアント ID / シークレットが適切に分離されている

フローとスコープ

  • パブリッククライアントには Authorization Code + PKCE 等、適切なフローが選択されている
  • 付与されるスコープが必要最小限に制限されている
  • クライアントごとにスコープが分離されている

トークン検証

  • ID トークン/アクセストークンの署名検証が行われている
  • issaudexpiat などのクレーム検証が実装されている
  • nonce が利用されるフローでリプレイ防止が適切に行われている

外部 IdP 連携

  • メールアドレスやドメインの検証が適切であり、想定外のユーザが管理権限を取得できない
  • 既存アカウントとの紐付け時に、ユーザ本人確認や衝突検出が行われている
  • 外部 IdP 障害時のフェイルセーフ(代替ログイン手段等)が検討されている