初めてRFC読んでみたその2

はじめに

引き続き読み進めていく。 RFCらしい文体が目立ってきた。

クライアントは事前に認可サーバへの登録が必要。

2つのクライアントタイプがある。

クレデンシャルの秘密が保持できるクライアント。セキュアなサーバなど。

クレデンシャルの秘密が保持できないクライアント。スマホアプリなど。

文字列。秘密じゃないので、これだけで認証に使うのは禁止。

クライアントタイプがコンフィデンシャルな場合は、クライアントの認証を行う。方式はパスワード認証か、それ以外か。

クライアントIDとクライアントシークレット（ID/パスワード）を利用して認証する。

ここには、いくつか注意事項の記載がある。「basic認証のサポートは必須」「TLSの利用が必須」「ブルートフォースアタック対策は必須」など。

その他の認証方式を利用してもいいけど、明確にすることが必須。

未登録クライアントを利用してもいい。（「本仕様で利用を排除するものではない」というRFCらいし書き方。）ただし、そのような利用は、本仕様のスコープ外。各自、セキュリティに気をつけて考えてね。