OAuth †
stateパラメタ †
- stateパラメタの限界
- 認証サーバは認可要求からクライアントがstateパラメータを利用しているかどうか”は知ることができるものの, “stateパラメータに共通の値や推測可能な値を指定していないか”、クライアントが正しく認可応答のstateパラメータの検証をしているか”までは知ることができない
PKCE †
- Proof Key for Code Exchange by OAuth Public Clients
OpenID †
WSSE †
Thrift †
OASIS †