ネイティブアプリでのOAuth・OIDCに関する参考になるリンクを記載しておく。
ネイティブアプリにはバックエンドサーバを持つもの、持たないもの(クライアントシークレットを安全に管理できるかできないか)という複数パターンが存在すること、そもそもWebブラウザベースではないことからOAuth・OIDCの想定になかったケースであること、iPhoneやAndroidといった端末OSによる仕様・実装の違いや変化に対応する必要があることなど課題が多い。
RFCなど
- RFC 8252: OAuth 2.0 for Native Apps
- ネイティブアプリのOAuth 2.0のフローについて規定されている
- RFC 8252 - OAuth 2.0 for Native Apps 日本語訳
-
OAuth 2.0 for Mobile and Native Apps Guest Blog: Implementing App-to-App Authorisation in OAuth2/OpenID Connect | OpenID
- RFC 8252 OAuth 2.0 for Native Apps - Qiita
- OAuth 2.0・OpenID ConnectでのEmbedded User-Agentの扱い - Qiita
- Google Developers Japan: ネイティブ アプリの OAuth インタラクションを最新にしてユーザビリティとセキュリティを向上する
Universal Links・App Links
- Universal Linksを試してみました。関連づけファイル(apple-app-site-association)はS3に置きました。 | DevelopersIO App Linksに対応してみた - Qiita
- URLスキーム・独自ディープリンク実装に代わる、Universal Links(iOS 9で導入)でより良いUXを実現 - Qiita
- Android App Linksの複数ホスト対応と、Android App Links対応Webサイトに対して複数アプリを関連付けるための知見 - クックパッド開発者ブログ
- apple-app-site-associationのpaths(遷移対象パス)の作り方(UniversalLinks対応) - Qiita
- ユニバーサルリンクを利用する | LINE Developers
- 今更だけど試してみようUniversalLink - Takahiro Octopress Blog
- [iOS] Universal Linksの「apple-app-site-association」へのアクセスにIP制限がかかっている場合の動作について | DevelopersIO
攻撃
ネイティブアプリ実装
- Webサービスを通してユーザーを認証する - 日本語ドキュメント - Apple Developer
- ios - How to close ASWebAuthenticationSession with redirect to external website not to app universal link - Stack Overflow