TsgcHTTP_OAuth2_Server

このコンポーネントはサーバーサイドコンポーネントに OAuth2 プロトコルの実装を提供します。

サーバーコンポーネントには、Authorization.OAuth.OAuth2というプロパティがあり、ここにTsgcHTTP_OAuth2_Serverのインスタンスを割り当てることができます。したがって、Authenticationが有効でOAuth2プロパティがOAuth2 Serverコンポーネントにアタッチされている場合、WebSocketおよびHTTPリクエストは処理されるためにBearer Tokenを必要とし、ない場合は接続が自動的に閉じられます。

    OAuth2 := TsgcHTTP_OAuth2_Server.Create(nil);
    Server.Authentication.Enabled := True;
    Server.Authentication.OAuth.OAuth2 := OAuth2;

サーバーは以下の認証タイプをサポートしています。

• auth2Code: シングルページアプリケーション、ウェブアプリケーション、ネイティブインストールアプリケーションを含む大多数のアプリケーションタイプで認証と認可を行うために使用されます。このフローにより、アプリはリソースへのアクセスに使用できる access_token、追加の access_token を取得するためのリフレッシュトークン、およびサインインユーザーの ID トークンを安全に取得できます。

• auth2ClientCredentials: このグラントタイプは、ユーザーとの直接的なインタラクションなしにバックグラウンドで実行されるサーバー間インタラクションによく使用されます。この種のアプリケーションはデーモンまたはサービスアカウントと呼ばれることがよくあります。

• password（リソースオーナーパスワード認証情報）: ユーザーの認証情報を直接処理してサインインするアプリケーションを許可します。クライアントはユーザーのユーザー名とパスワードをトークンエンドポイントに送信します。

• urn:ietf:params:oauth:grant-type:device_code（デバイスコード）: RFC 8628 に基づくデバイス認可グラント。入力が制限されたデバイス（スマートテレビ、IoT デバイス）がセカンダリデバイスでユーザーに認可させることでユーザー認可を取得できるようにします。

アプリの登録時に認可タイプをカスタマイズできます。デフォルトでは、すべての認可タイプがサポートされます。

エンドポイント

デフォルトでは、コンポーネントは以下のエンドポイントで認可とトークンのリクエストを処理するように設定されています

Authorization: /sgc/oauth2/auth

Token: /sgc/oauth2/token

Revocation： /sgc/oauth2/revoke

Introspection: /sgc/oauth2/introspect

デバイス認証: /sgc/oauth2/device

デバイス検証： /sgc/oauth2/device/verify

したがって、サーバーがポート443でリッスンし、ドメインがwww.esegece.comの場合、EndPointsは次のようになります:

Authorization: https://www.esegece.com/sgc/oauth2/auth

トークン： https://www.esegece.com/sgc/oauth2/token

Revocation: https://www.esegece.com/sgc/oauth2/revoke

Introspection: https://www.esegece.com/sgc/oauth2/introspect

Device Authorization: https://www.esegece.com/sgc/oauth2/device

デバイス確認： https://www.esegece.com/sgc/oauth2/device/verify

エンドポイントは OAuth2Options プロパティで設定できます。

デフォルトでは、PKCE（CSRF および認証コードインジェクション攻撃を防ぐための Authorization Code フローの拡張機能）が有効になっています。

設定

OAuth2プロセスを開始する前に、どのアプリが利用可能になるかを登録する必要があります。これはOAuth2サーバーコンポーネントのAppsプロパティを使用して行います。

Register App

新しいアプリケーションを OAuth2 サーバーに追加するには Apps.AddApp を使用します。次のパラメータを設定する必要があります:

• アプリ名: アプリケーションの名前です。例: MyApp
• RedirectURI: はレスポンスがリダイレクトされる場所です。例: http://127.0.0.1:8080
• ClientId: 公開情報であり、クライアントの ID です。
• ClientSecret: 機密に保つ必要があります。

オプションで以下のパラメーターを設定できます。

• ExpiresIn： デフォルトは 3600 秒なので、トークンは 1 時間後に期限切れになります。必要に応じて大きな値を設定できます。
• RefreshToken: デフォルトでは更新トークンがサポートされています。サポートしない場合は、このパラメーターを false に設定してください。
• AllowedGrantTypes: デフォルトでは、すべてのグラントタイプがサポートされています（auth2Code と auth2ClientCredentials）。ただし、サーバーはコード認可のみ、またはクライアント認証情報のみを許可するように設定できます。

アプリを削除

Apps.RemoveApp を使用して既存のアプリを削除します。

AddToken

トークンが発行されている間にサーバーが再起動された場合、OAuth2 Serverを起動する前、かつAppを登録した後に、AddTokenメソッドを使用してこれらのトークンを復元できます

• AppName: アプリケーションの名前。
• Token： アクセストークン。
• Expires: トークンの有効期限。
• RefreshToken: リフレッシュ トークン。

RemoveToken

発行済みトークンを削除します。

OAuth2Options

OAuth2Options プロパティを使用して、サーバーエンドポイントとオプション機能を設定できます。

失効

RFC 7009によるトークン取り消し。有効にすると、クライアントは以前に発行されたアクセストークンまたはリフレッシュトークンを取り消すことができます。

• OAuth2Options.Revocation.Enabled: True に設定すると、失効エンドポイントが有効になります。
• OAuth2Options.Revocation.URL: エンドポイントの URL パス。デフォルト: /sgc/oauth2/revoke

イントロスペクション

RFC 7662 によるトークンイントロスペクション。有効にすると、リソースサーバーは認可サーバーにクエリしてトークンのアクティブ状態とメタデータを確認できます。

• OAuth2Options.Introspection.Enabled: イントロスペクションエンドポイントを有効にするには True に設定します。
• OAuth2Options.Introspection.URL: エンドポイントの URL パス。デフォルト: /sgc/oauth2/introspect

DeviceAuthorization

RFC 8628 によるデバイス認可グラント。有効にすると、入力制限デバイスはセカンダリデバイスでユーザーが認可することで認可をリクエストできます。

• OAuth2Options.DeviceAuthorization.Enabled: デバイス認可エンドポイントを有効にするにはTrueに設定します。
• OAuth2Options.DeviceAuthorization.URL: デバイスコードリクエストのエンドポイント URL パス。デフォルト：/sgc/oauth2/device
• OAuth2Options.DeviceAuthorization.VerificationURL: ユーザー確認ページのエンドポイント URL パス。デフォルト: /sgc/oauth2/device/verify
• OAuth2Options.DeviceAuthorization.ExpiresIn: デバイスコードの有効期間(秒)。デフォルト: 600(10分)。
• OAuth2Options.DeviceAuthorization.Interval: クライアントがトークンエンドポイントをポーリングする際に使用すべき最小ポーリング間隔（秒単位）。デフォルト値：5。