回答編集履歴
4
整理
test
CHANGED
|
@@ -6,7 +6,7 @@
|
|
|
6
6
|
|
|
7
7
|
|
|
8
8
|
|
|
9
|
-
ただ、そもそも質問者さんの場合は```Laravel Passport (OAuth2)```を使う必要はありません。
|
|
9
|
+
ただ、そもそも**質問者さんの場合は**```Laravel Passport (OAuth2)```を使う必要はありません。
|
|
10
10
|
|
|
11
11
|
追記依頼の質問に対する回答が「自サイト(同一ドメイン)のみでのやり取りを考えています」とのことですので。
|
|
12
12
|
|
|
@@ -24,11 +24,11 @@
|
|
|
24
24
|
|
|
25
25
|
どこまで```OAuth2```を理解されているかわかりませんが、仕様は[rfc6749](https://tools.ietf.org/html/rfc6749)で定義されています。
|
|
26
26
|
|
|
27
|
-
そちらの冒頭にも記載されている通り、基本的に**```OAuth2```はデータへのアクセスを```third-party application```に許可するためのフレームワーク**です。
|
|
27
|
+
そちらの冒頭にも記載されている通り、基本的に**```OAuth2```はデータへのアクセスを```third-party application```に「許可」するためのフレームワーク**です。
|
|
28
28
|
|
|
29
29
|
|
|
30
30
|
|
|
31
|
-
もちろん質問者さんがやろうとしているように```OAuth2```を```first-party application```に適用できないことはないですが```OAuth2```の本来の目的から外れる上、
|
|
31
|
+
もちろん質問者さんがやろうとしているように```OAuth2```の[Resource Owner Password Credentials Grant](https://tools.ietf.org/html/rfc6749#section-4.3)(以下Password Grant)を```first-party application```の「認証」に適用できないことはないですが```OAuth2```の本来の目的から外れる上、費用対効果が低いのでオススメしません。
|
|
32
32
|
|
|
33
33
|
|
|
34
34
|
|
|
@@ -36,19 +36,13 @@
|
|
|
36
36
|
|
|
37
37
|
|
|
38
38
|
|
|
39
|
-
そんなこと気にもしたことない開発者も多くいると思いますが。。。
|
|
40
|
-
|
|
41
|
-
|
|
39
|
+
もし```Laravel Passport```(以下パッケージ)が要求する```client_secret```をべき論で隠すというのであれば、[こちら](http://esbenp.github.io/2017/03/19/modern-rest-api-laravel-part-4/)のようにクライアントの認証情報をサーバーに隠すことになるでしょう。
|
|
42
40
|
|
|
43
41
|
|
|
44
42
|
|
|
45
|
-
しかし、そもそもrfc的にはPassword Grantで```client_secret```を渡す必要が基本的にありません。
|
|
43
|
+
しかし、そもそもrfc的にはPassword Grantで```client_secret```を渡す必要が基本的にありませんので、```client_secret```を必ず渡さないといけないというのはパッケージ独自の仕様となります。
|
|
46
44
|
|
|
47
45
|
[https://tools.ietf.org/html/rfc6749#section-4.3.2](https://tools.ietf.org/html/rfc6749#section-4.3.2)
|
|
48
|
-
|
|
49
|
-
|
|
50
|
-
|
|
51
|
-
つまり```client_secret```を要求するのは```Laravel Passport```(パッケージ)の仕様で、そのPassword Grantの実装は[Resource Owner Password Credentials Grant](https://tools.ietf.org/html/rfc6749#section-4.3)に完全準拠していないということになります。
|
|
52
46
|
|
|
53
47
|
|
|
54
48
|
|
|
@@ -62,11 +56,11 @@
|
|
|
62
56
|
|
|
63
57
|
|
|
64
58
|
|
|
65
|
-
以上、もし```Laravel Passport```を使う明確な理由をお持ちで、どうしてもそれを使わなければならないというのであれば引き止めはしませんが、別の方法をおすすめしますという回答になります。
|
|
59
|
+
以上の通り、もし```Laravel Passport```を使う明確な理由をお持ちで、どうしてもそれを使わなければならないというのであれば引き止めはしませんが、**質問者さんの場合は**別の方法をおすすめしますという回答になります。
|
|
66
60
|
|
|
67
61
|
|
|
68
62
|
|
|
69
|
-
以下はTeratailで関連する質問です。```OAuth2```の仕様を絡めてそもそも的な回答はないですが、少しでも参考になれば。
|
|
63
|
+
以下はTeratailで関連する質問です。```OAuth2```の仕様を絡めてそもそも的な回答ではないですが、少しでも参考になれば。
|
|
70
64
|
|
|
71
65
|
[API - laravelを使ってapiサーバを作る際のログイン認証の仕組みで困っています。|teratail](https://teratail.com/questions/89466)
|
|
72
66
|
|
3
誤字
test
CHANGED
|
@@ -42,7 +42,7 @@
|
|
|
42
42
|
|
|
43
43
|
|
|
44
44
|
|
|
45
|
-
しかし
|
|
45
|
+
しかし、そもそもrfc的にはPassword Grantで```client_secret```を渡す必要が基本的にありません。
|
|
46
46
|
|
|
47
47
|
[https://tools.ietf.org/html/rfc6749#section-4.3.2](https://tools.ietf.org/html/rfc6749#section-4.3.2)
|
|
48
48
|
|
2
ちょと整理
test
CHANGED
|
@@ -2,21 +2,19 @@
|
|
|
2
2
|
|
|
3
3
|
|
|
4
4
|
|
|
5
|
-
|
|
5
|
+
secretという名の通り秘匿するべきものです。
|
|
6
6
|
|
|
7
7
|
|
|
8
8
|
|
|
9
|
-
ただ、そもそも質問者さんの場合は
|
|
9
|
+
ただ、そもそも質問者さんの場合は```Laravel Passport (OAuth2)```を使う必要はありません。
|
|
10
10
|
|
|
11
|
-
追記依頼の質問に対する回答が
|
|
11
|
+
追記依頼の質問に対する回答が「自サイト(同一ドメイン)のみでのやり取りを考えています」とのことですので。
|
|
12
12
|
|
|
13
13
|
|
|
14
14
|
|
|
15
|
-
>
|
|
15
|
+
> LaravelとVue.jsを使いmailとpasswordでログイン出来る仕組みを作成
|
|
16
16
|
|
|
17
17
|
|
|
18
|
-
|
|
19
|
-
とのことですので。
|
|
20
18
|
|
|
21
19
|
Laravelがデフォルトで用意しているトークンで対応するか、
|
|
22
20
|
|
|
@@ -30,15 +28,29 @@
|
|
|
30
28
|
|
|
31
29
|
|
|
32
30
|
|
|
33
|
-
もちろん質問者さんがやろうとしているように```OAuth2```を```first-party application```に適用できないことはないですが
|
|
34
|
-
|
|
35
|
-
あと、```Laravel Passport```([```League OAuth2 server```](https://github.com/thephpleague/oauth2-server))のPassword Grant Tokensが[Resource Owner Password Credentials Grant](https://tools.ietf.org/html/rfc6749#section-4.3)に完全に準拠していないためオススメしません。
|
|
31
|
+
もちろん質問者さんがやろうとしているように```OAuth2```を```first-party application```に適用できないことはないですが```OAuth2```の本来の目的から外れる上、導入の費用対効果が低いのでオススメしません。
|
|
36
32
|
|
|
37
33
|
|
|
38
34
|
|
|
39
|
-
もし
|
|
35
|
+
> もし、秘匿すべきものであれば秘匿方法などご教授いただきたいです。
|
|
40
36
|
|
|
41
|
-
|
|
37
|
+
|
|
38
|
+
|
|
39
|
+
そんなこと気にもしたことない開発者も多くいると思いますが。。。
|
|
40
|
+
|
|
41
|
+
べき論で```client_secret```を隠すのであれば、[こちら](http://esbenp.github.io/2017/03/19/modern-rest-api-laravel-part-4/)のようにクライアントの認証情報をサーバーに隠すことになるでしょう。
|
|
42
|
+
|
|
43
|
+
|
|
44
|
+
|
|
45
|
+
しかしながら、そもそもRCF的にはPassword Grantで```client_secret```を渡す必要が基本的にありません。
|
|
46
|
+
|
|
47
|
+
[https://tools.ietf.org/html/rfc6749#section-4.3.2](https://tools.ietf.org/html/rfc6749#section-4.3.2)
|
|
48
|
+
|
|
49
|
+
|
|
50
|
+
|
|
51
|
+
つまり```client_secret```を要求するのは```Laravel Passport```(パッケージ)の仕様で、そのPassword Grantの実装は[Resource Owner Password Credentials Grant](https://tools.ietf.org/html/rfc6749#section-4.3)に完全準拠していないということになります。
|
|
52
|
+
|
|
53
|
+
|
|
42
54
|
|
|
43
55
|
パッケージが```client_secret```を要求することについては以下で議論されてるっぽいので、将来的に```client_secret```を渡さなくても良くなるかもしれません。
|
|
44
56
|
|
|
@@ -48,6 +60,12 @@
|
|
|
48
60
|
|
|
49
61
|
|
|
50
62
|
|
|
63
|
+
|
|
64
|
+
|
|
65
|
+
以上、もし```Laravel Passport```を使う明確な理由をお持ちで、どうしてもそれを使わなければならないというのであれば引き止めはしませんが、別の方法をおすすめしますという回答になります。
|
|
66
|
+
|
|
67
|
+
|
|
68
|
+
|
|
51
69
|
以下はTeratailで関連する質問です。```OAuth2```の仕様を絡めてそもそも的な回答はないですが、少しでも参考になれば。
|
|
52
70
|
|
|
53
71
|
[API - laravelを使ってapiサーバを作る際のログイン認証の仕組みで困っています。|teratail](https://teratail.com/questions/89466)
|
1
edit
test
CHANGED
|
@@ -32,13 +32,13 @@
|
|
|
32
32
|
|
|
33
33
|
もちろん質問者さんがやろうとしているように```OAuth2```を```first-party application```に適用できないことはないですが、```OAuth2```の本来の目的から外れる上、導入の費用対効果が低いのでオススメしません。
|
|
34
34
|
|
|
35
|
-
あと、Laravel Passport([League OAuth2 server](https://github.com/thephpleague/oauth2-server))のPassword Grant Tokensが[Resource Owner Password Credentials Grant](https://tools.ietf.org/html/rfc6749#section-4.3)に完全に準拠していないためオススメしません。
|
|
35
|
+
あと、```Laravel Passport```([```League OAuth2 server```](https://github.com/thephpleague/oauth2-server))のPassword Grant Tokensが[Resource Owner Password Credentials Grant](https://tools.ietf.org/html/rfc6749#section-4.3)に完全に準拠していないためオススメしません。
|
|
36
36
|
|
|
37
37
|
|
|
38
38
|
|
|
39
39
|
もし```Laravel Passport```を使う明確な理由をお持ちで、どうしても```Laravel Passport```を使わなければならないんだというのであれば引き止めはしません。
|
|
40
40
|
|
|
41
|
-
基本的には[Resource Owner Password Credentials GrantのAccess Token Request](https://tools.ietf.org/html/rfc6749#section-4.3.2)の通り、Password Grantで```client_secret```を渡す必要がありませんが、
|
|
41
|
+
基本的には[Resource Owner Password Credentials GrantのAccess Token Request](https://tools.ietf.org/html/rfc6749#section-4.3.2)の通り、Password Grantで```client_secret```を渡す必要がありませんが、パッケージを使う場合それを要求してくるならそのルールに従うしかないと思います。
|
|
42
42
|
|
|
43
43
|
パッケージが```client_secret```を要求することについては以下で議論されてるっぽいので、将来的に```client_secret```を渡さなくても良くなるかもしれません。
|
|
44
44
|
|