情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ 問16: 利用者 A が所有するリソース B が,Web サービス C 上にある。OAuth 2.0 において,利用者 A の認可の下,Web サービス D からリソース
←情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ
利用者 A が所有するリソース B が,Web サービス C 上にある。OAuth 2.0 において,利用者 A の認可の下,Web サービス D からリソース B への限定されたアクセスを可能にするときのプロトコルの動作はどれか。ここで Web サービス C は,認可サーバを兼ねているものとする。
問題本文
利用者 A が所有するリソース B が,Web サービス C 上にある。OAuth 2.0 において,利用者 A の認可の下,Web サービス D からリソース B への限定されたアクセスを可能にするときのプロトコルの動作はどれか。ここで Web サービス C は,認可サーバを兼ねているものとする。
選択肢
- ア.Web サービス C が,アクセストークンを発行する。
- イ.Web サービス C が,利用者 A のデジタル証明書を Web サービス D に送信する。
- ウ.Web サービス D が,アクセストークンを発行する。
- エ.Web サービス D が,利用者 A のデジタル証明書を Web サービス C に送信する。
正解
ア. Web サービス C が,アクセストークンを発行する。
解説
OAuth 2.0では、リソース所有者(利用者A)の認可に基づき、認可サーバ(WebサービスC)がアクセストークンを発行し、クライアント(WebサービスD)がそのトークンを使ってリソースBへ限定的にアクセスする。トークンを発行するのは認可サーバであるCなので、アが正解。実務ではパスワードを渡さず権限を限定委譲できる仕組みとして、API連携に広く使われる。
選択肢ごとの解説
- ア.認可サーバを兼ねるWebサービスCがアクセストークンを発行する点がOAuthの動作に合致し、正しい。
- イ.OAuthはトークンベースで、利用者のデジタル証明書を送る仕組みではないので誤り。
- ウ.トークンを発行するのは認可サーバCであり、クライアント側のDが発行するのではないので誤り。
- エ.デジタル証明書をやり取りする話はOAuthの動作ではなく、誤り。
情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ の過去問一覧へ戻る・問16