情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問14: 特定の利用者が所有するリソースが,Web サービス A 上にある。OAuth 2.0 において,その利用者の認可の下,Web サービス B からそのリソースへの
←情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ
特定の利用者が所有するリソースが,Web サービス A 上にある。OAuth 2.0 において,その利用者の認可の下,Web サービス B からそのリソースへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。
問題本文
特定の利用者が所有するリソースが,Web サービス A 上にある。OAuth 2.0 において,その利用者の認可の下,Web サービス B からそのリソースへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。
選択肢
- ア.Web サービス A が,アクセストークンを発行する。
- イ.Web サービス A が,利用者のディジタル証明書を Web サービス B に送信する。
- ウ.Web サービス B が,アクセストークンを発行する。
- エ.Web サービス B が,利用者のディジタル証明書を Web サービス A に送信する。
正解
ア. Web サービス A が,アクセストークンを発行する。
解説
OAuth 2.0では、リソースを保持しトークンを発行するのは認可サーバ/リソースを提供する側のサービスA。利用者の認可の下、サービスBはサービスAが発行したアクセストークンを使って限定的にリソースへアクセスする。よってWebサービスA(認可サーバ)がトークンを発行するアが正解。OAuthはトークンによる認可の委譲であり、証明書を送り合う方式ではない。
選択肢ごとの解説
- ア.リソースを持つ側のWebサービスAが利用者の認可に基づきアクセストークンを発行する点が正解。
- イ.OAuthはトークンで認可を委譲する仕組みで、利用者の証明書を送り合う方式ではない。
- ウ.トークンを発行するのは認可サーバ側のサービスAであり、要求側のBが発行するのではない。
- エ.証明書を送付する動作はOAuthのフローに含まれず、誤り。
情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ の過去問一覧へ戻る・問14