最近よく聞くが、イマイチ分かっていないので、簡単に纏めてみた。
- web サービスの「認可」のためのプロトコル
- サービスA (クライアントアプリ) がサービスB (リソースサーバ) にアクセスできるよう、サービスBがサービスAに対して、アクセストークンを発行する。
-
上記の際、サービスBからユーザに対して、アクセストークンの発行許可を問う。
- サービスAがサービスBにアクセスする際、上記で取得したアクセストークンを使用することで、サービスAはサービスBのリソースを取得できる。
- ポイントは、サービスAがサービスBの ID/PW を知る必要がないということ。サービスBが発行したアクセストークンを使用することでこれを実現している。この辺のアクセストークンのやり取りは、リダイレクトの際に情報を含めることで実現しているようだ。
以下のページの説明が分かりやすかった。