OAuth 2.1 と 2.0 で適当に diff をとってみた

最近は OAuth, OpenID Connect, FIDO とすっかり AuthN, AuthZ をがっつり勉強しております。

んで、7月末に WG Draft が出た The OAuth 2.1 Authorization Framework があるわけですが、勉強がてら OAuth v2.1 と OAuth v2.0 の diff をとってみた。 diff の内容はコチラ

まあ、Section 12. を読めば大体わかるんですがね。

基本的にこのドラフトは下記の文書を統合した物です。

主な変更点はこちら。ただ、足りてないと思う。クライアントタイプが3つになるとかかなりでかい変更なのに Section 12. では触れられてないし。

Authorization Code Grant を PKCE で拡張した
Implict Grant を廃止
Resource Owner Password Credentials Grant を廃止
URI のクエリストリングでの bearer トークンの削除
リフレッシュトークンは sender-constrained もしくはワンタイムトークンとすべき

BCP バージョンが上がった 16 が出ているし、Browser-Based Apps にいたっては Fix したら持ってくるとか気の長いことを言っているのでまだまだ変わりそう。

あと、クライアントタイプが増えているのはやっぱり気になる。confidential の定義が変わるのはほかのいろんなドキュメントに影響を与えるし、認可サーバに身元が確認されたクライアント なんてしれっと書いてあるけど、これは 認可サーバはクライアントの身元を確認する という要件が増えているとも取れる。public と confidential の定義は変えずに身元が確認された confidential クライアントを trusted とか certified とかにするのじゃダメだったんだろうか？

Device Flow は取り込まれずに例としてあげられているだけ、app2app や CIBA なんかは OpenID Connect 由来だからか全く触れられていない

あくまでも統合したものなので、この文書を起点にドラスティックな変更が現れることはなさそうな気がする。いや、クライアントタイプな変更はかなりドラスティックな気もする

まあ、まだ 00 なので、今後に注目ですね