<p><!--META { "title": "OAuth 2.0 認可コードフローの詳細と実装課題", "primary_category": "ネットワーク>セキュリティ", "secondary_categories": ["認証・認可","API連携"], "tags": ["OAuth2.0","RFC6749","RFC7636","認可コードフロー","PKCE","セキュリティ"], "summary": "OAuth 2.0認可コードフローの技術的詳細、セキュリティ考慮、実装課題をRFCに基づいて解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"OAuth 2.0認可コードフローのRFC 6749とPKCE RFC 7636に基づいた詳細解説。セキュリティ、相互運用、実装課題まで掘り下げます。#OAuth2 #RFC6749 #PKCE"}, "link_hints": ["https://datatracker.ietf.org/doc/html/rfc6749","https://datatracker.ietf.org/doc/html/rfc7636"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">OAuth 2.0 認可コードフローの詳細と実装課題</h1> <h2 class="wp-block-heading">背景</h2> <p>今日のインターネットサービスでは、ユーザーが複数のアプリケーションやサービスを連携させる機会が増加しています。例えば、写真共有アプリがSNSに画像を投稿したり、フィットネスアプリがカレンダーに活動記録を登録したりするケースです。このような連携において、ユーザーが自身の認証情報（ID/パスワード）を連携先のアプリケーションに直接渡すのは、セキュリティ上の大きなリスクを伴います。</p> <p>OAuth 2.0 (The OAuth 2.0 Authorization Framework, <strong>RFC 6749</strong>) は、ユーザー（リソースオーナー）が自身の認証情報を第三者クライアントアプリケーションに共有することなく、特定のリソースに対する限定的なアクセス権を安全に委譲するためのプロトコルです。OAuth 1.0の複雑さを解消し、より多様なクライアントタイプに対応するために設計されました。その中でも「認可コードフロー」は、最も安全で広く推奨されるフローであり、機密クライアント（サーバーサイドアプリケーション）や公開クライアント（モバイルアプリ、シングルページアプリケーションなど）に利用されます。特に公開クライアント向けには、追加のセキュリティレイヤーとしてProof Key for Code Exchange (PKCE, <strong>RFC 7636</strong>) が推奨・必須となっています。</p> <h2 class="wp-block-heading">設計目標</h2> <p>OAuth 2.0の認可コードフローは、以下の主要な設計目標を掲げています。</p> <ul class="wp-block-list"> <li><p><strong>安全な権限委譲</strong>: クライアントがユーザーの認証情報を直接知ることなく、リソースサーバーへのアクセス権（アクセストークン）を取得するメカニズムを提供する。</p></li> <li><p><strong>最小権限の原則</strong>: アクセストークンに紐づくアクセス権限（スコープ）を細かく制御し、必要最小限の権限のみをクライアントに付与する。</p></li> <li><p><strong>多様なクライアントタイプへの対応</strong>: 機密性の高いクライアント（バックエンドサーバー）と、機密性の低い公開クライアント（ブラウザ、モバイルアプリ）の両方に対応できる柔軟性を持つ。</p></li> <li><p><strong>セキュリティ堅牢性</strong>: 中間者攻撃 (Man-in-the-Middle)、クロスサイトリクエストフォージェリ (CSRF)、リプレイ攻撃、認可コード横取りなどの脅威に対する耐性を備える。</p></li> <li><p><strong>相互運用性</strong>: 異なるサービスプロバイダやクライアント実装間で、OAuth 2.0の仕様に基づいたシームレスな連携を可能にする。</p></li> </ul> <h2 class="wp-block-heading">詳細</h2> <p>OAuth 2.0の認可コードフローには、以下の4つの主要な役割が登場します。</p> <ol class="wp-block-list"> <li><p><strong>リソースオーナー (Resource Owner)</strong>: 保護されたリソースへのアクセスを許可するユーザー。</p></li> <li><p><strong>クライアント (Client)</strong>: リソースオーナーに代わって保護されたリソースにアクセスするアプリケーション。</p></li> <li><p><strong>認可サーバー (Authorization Server)</strong>: リソースオーナーを認証し、クライアントにアクセストークンを発行するサーバー。</p></li> <li><p><strong>リソースサーバー (Resource Server)</strong>: 保護されたリソースをホストし、アクセストークンを検証してリソースへのアクセスを許可するサーバー。</p></li> </ol> <h3 class="wp-block-heading">認可コードフローのステップ</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> sequenceDiagram participant U as ユーザー (リソースオーナー) participant C as クライアントアプリケーション participant AS as 認可サーバー participant RS as リソースサーバー U->C: 1. アプリケーション開始/機能要求 C->AS: 2. 認可リクエスト(HTTP GET /authorize)(scope, client_id, redirect_uri, state, code_challenge, code_challenge_method) AS->U: 3. 認証・認可画面表示 U->AS: 4. 認証情報入力 & 認可承認 AS-->>C: 5. 認可コード発行 & リダイレクト(HTTP 302 Location: redirect_uri?code=...&state=...) C->AS: 6. アクセストークンリクエスト(HTTP POST /token)(grant_type=authorization_code, code, redirect_uri, client_id, [client_secret], code_verifier) AS->C: 7. アクセストークン発行(HTTP 200 OK)({access_token, token_type, expires_in, [refresh_token], [scope]}) C->RS: 8. リソースアクセス(HTTP GET /resource)(Authorization: Bearer access_token) RS->C: 9. リソース応答(HTTP 200 OK)(要求されたリソース) </pre></div> <ol class="wp-block-list"> <li><p><strong>リソースオーナーによる機能要求</strong>: ユーザーがクライアントアプリケーションを通じて、保護されたリソースへのアクセスを要求します。</p></li> <li><p><strong>認可リクエスト (Authorization Request)</strong>: クライアントはユーザーを認可サーバーの認可エンドポイントへリダイレクトします。このとき、以下のクエリパラメータを含めます。</p> <ul> <li><p><code>response_type=code</code> (認可コードフローを指定)</p></li> <li><p><code>client_id</code> (クライアントの識別子)</p></li> <li><p><code>redirect_uri</code> (認可サーバーが認可コードを返送するURI)</p></li> <li><p><code>scope</code> (要求するアクセス権限の範囲)</p></li> <li><p><code>state</code> (CSRF攻撃対策のためのランダムな値)</p></li> <li><p><code>code_challenge</code> (PKCE, <strong>RFC 7636</strong>): <code>code_verifier</code>のハッシュ値。</p></li> <li><p><code>code_challenge_method</code> (PKCE): <code>S256</code> (SHA256ハッシュ) または <code>plain</code>。<code>S256</code>が強く推奨されます。</p></li> </ul></li> <li><p><strong>認証・認可画面表示</strong>: 認可サーバーはユーザーのブラウザにログイン・認可同意画面を表示します。</p></li> <li><p><strong>認証情報入力 & 認可承認</strong>: ユーザーは認可サーバーで認証を行い、クライアントによるアクセス要求を承認します。</p></li> <li><p><strong>認可コード発行 & リダイレクト</strong>: 認可サーバーはユーザーを<code>redirect_uri</code>にリダイレクトし、クエリパラメータとして<code>code</code>（認可コード）と<code>state</code>を含めます。</p></li> <li><p><strong>アクセストークンリクエスト (Token Request)</strong>: クライアントは、バックエンドチャネル（多くの場合HTTPS POSTリクエスト）を通じて認可サーバーのトークンエンドポイントにアクセストークンの発行を要求します。</p> <ul> <li><p><code>grant_type=authorization_code</code></p></li> <li><p><code>code</code> (ステップ5で受け取った認可コード)</p></li> <li><p><code>redirect_uri</code> (ステップ2と同じ値)</p></li> <li><p><code>client_id</code></p></li> <li><p><code>client_secret</code> (機密クライアントの場合)</p></li> <li><p><code>code_verifier</code> (PKCE): <code>code_challenge</code>の元となったランダムな文字列。</p></li> </ul></li> <li><p><strong>アクセストークン発行</strong>: 認可サーバーは<code>code</code>、<code>redirect_uri</code>、<code>client_id</code>、<code>(client_secret)</code>、<code>code_verifier</code>を検証し、正しければアクセストークン、トークンタイプ、有効期限、およびオプションでリフレッシュトークンを発行します。</p></li> <li><p><strong>リソースアクセス</strong>: クライアントは取得したアクセストークンを<code>Authorization</code>ヘッダ（<code>Bearer</code>スキーム）に含めて、リソースサーバーに保護されたリソースへのアクセスを要求します。</p></li> <li><p><strong>リソース応答</strong>: リソースサーバーはアクセストークンを検証し、有効であれば要求されたリソースをクライアントに返します。</p></li> </ol> <h3 class="wp-block-heading">PKCE (Proof Key for Code Exchange) の重要性</h3> <p>PKCE (<strong>RFC 7636</strong>) は、特に公開クライアントにおける認可コード横取り攻撃を防ぐために導入されました。公開クライアントは<code>client_secret</code>を安全に保持できないため、認可コードが傍受された場合、攻撃者がそのコードを使ってアクセストークンを取得できてしまうリスクがあります。</p> <p>PKCEでは、クライアントが認可リクエスト時にランダムな文字列 (<code>code_verifier</code>) を生成し、そのハッシュ値 (<code>code_challenge</code>) を認可サーバーに送信します。その後、トークンリクエスト時に元の<code>code_verifier</code>を認可サーバーに送信し、認可サーバーは受け取った<code>code_verifier</code>からハッシュ値を計算し、<code>code_challenge</code>と一致するか検証します。これにより、攻撃者が認可コードを横取りしても<code>code_verifier</code>を知らなければアクセストークンを取得できないため、セキュリティが大幅に向上します。</p> <h3 class="wp-block-heading">プロトコルフロー (Mermaid Flowchart)</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart LR subgraph Client App C[クライアント] end subgraph User Browser U[ユーザー] end subgraph Authorization Server AS[認可サーバー] end subgraph Resource Server RS[リソースサーバー] end U -- |1. アプリ操作| --> C C -- |2. HTTP GET /authorize(scope, client_id, redirect_uri, state,code_challenge, code_challenge_method)| --> AS AS -- |3. 認証・認可UI| --> U U -- |4. 認証情報 & 認可承認| --> AS AS -- |5. HTTP 302 Redirect:redirect_uri?code=...&state=...| --> C C -- |6. HTTP POST /token(grant_type=authorization_code, code,redirect_uri, client_id, [client_secret], code_verifier)| --> AS AS -- |7. HTTP 200 OK:{access_token, token_type, expires_in,[refresh_token], [scope]}| --> C C -- |8. HTTP GET /resource(Authorization: Bearer access_token)| --> RS RS -- |9. HTTP 200 OK:リソースデータ| --> C </pre></div> <h3 class="wp-block-heading">ヘッダ/フレーム/パケット構造の概念</h3> <p>OAuth 2.0はHTTP上で動作するため、実際のプロトコル構造はHTTPメッセージのフォーマットに準拠します。ここでは、認可リクエストとトークンリクエストの主要なパラメータを、概念的なフィールド名とビット長で示します（実際は文字列として送信されるため、固定ビット長ではありませんが、理解のために抽象化します）。</p> <h4 class="wp-block-heading">認可リクエスト (HTTP GET <code>/authorize</code> のクエリパラメータ)</h4> <div class="codehilite"> <pre data-enlighter-language="generic">Host: variable Path: /authorize Query_Parameters: response_type: variable (e.g., "code") client_id: variable redirect_uri: variable (URL-encoded) scope: variable (space-separated, URL-encoded) state: variable (random string, URL-encoded) code_challenge: variable (PKCE, URL-encoded) code_challenge_method: variable (e.g., "S256", URL-encoded) HTTP_Header: variable (User-Agent, etc.) </pre> </div> <h4 class="wp-block-heading">トークンリクエスト (HTTP POST <code>/token</code> のボディ、<code>application/x-www-form-urlencoded</code>)</h4> <div class="codehilite"> <pre data-enlighter-language="generic">Host: variable Path: /token HTTP_Header: Content-Type: application/x-www-form-urlencoded Authorization: variable (Basic base64(client_id:client_secret) for confidential clients) Body_Parameters: grant_type: variable (e.g., "authorization_code") code: variable redirect_uri: variable (URL-encoded) client_id: variable client_secret: variable (confidential clients only) code_verifier: variable (PKCE) </pre> </div> <h2 class="wp-block-heading">相互運用</h2> <p>OAuth 2.0の相互運用性は、<strong>RFC 6749</strong>および関連するRFC (<strong>RFC 7636</strong> for PKCEなど) に準拠することで保証されます。主要なOAuth 2.0プロバイダ（Google, Facebook, GitHub, Auth0など）はこれらの仕様に厳密に従っており、クライアントアプリケーションは一度実装すれば、異なるプロバイダに対しても最小限の変更で対応できます。</p> <p>特にOpenID Connect (OIDC, <strong>RFC 8414</strong> はOAuth 2.0を基盤とする認証レイヤーのフレームワークを定義) は、OAuth 2.0を認証目的で利用するための標準的な拡張であり、今日では多くのサービスで利用されています。OIDCはOAuth 2.0にIDトークンなどの要素を追加し、ユーザーの認証とID情報の取得を可能にします。</p> <h2 class="wp-block-heading">セキュリティ考慮</h2> <p>OAuth 2.0の認可コードフローは、比較的安全なフローですが、いくつかのセキュリティリスクに対する考慮と対策が必要です。</p> <ul class="wp-block-list"> <li><p><strong>リプレイ攻撃 (Replay Attacks)</strong>:</p> <ul> <li><p><strong>認可コード</strong>: 認可コードは一度しか使用できない (One-time Use) ように認可サーバーによって強制されます (RFC 6749 Section 4.1.2)。これにより、傍受された認可コードが再利用されることを防ぎます。</p></li> <li><p><strong><code>state</code> パラメータ</strong>: クライアントは認可リクエスト時に一意のランダムな<code>state</code>パラメータを生成し、ユーザーセッションに関連付けて保持します。認可サーバーからのリダイレクト時に返された<code>state</code>が、元のセッションの<code>state</code>と一致するか検証することで、CSRF攻撃や認可レスポンスの横取りを防ぎます。</p></li> <li><p><strong>PKCE (RFC 7636)</strong>: <code>code_challenge</code>と<code>code_verifier</code>のペアにより、認可コードが横取りされても、正規のクライアントのみがアクセストークンを取得できることを保証し、認可コード横取り攻撃に対する耐性を高めます。</p></li> </ul></li> <li><p><strong>ダウングレード攻撃 (Downgrade Attacks)</strong>: OAuth 2.0プロトコル自体に明示的なダウングレードメカニズムはありませんが、認可サーバーは不正な<code>response_type</code>や<code>scope</code>の要求を拒否することで、より脆弱なフローへの誘導を防ぐ必要があります。また、すべての通信に<strong>TLS/HTTPS</strong>を強制することで、プロトコルネゴシエーション段階でのダウングレードを防ぎ、中間者攻撃を防御します。</p></li> <li><p><strong>キー更新 (Key Rotation)</strong>:</p> <ul> <li><p><strong>アクセストークン</strong>: アクセストークンは短命であり、有効期限が切れると無効になります。これにより、漏洩した場合のリスクを軽減します。</p></li> <li><p><strong>リフレッシュトークン</strong>: リフレッシュトークンはアクセストークンを再発行するために使用され、通常はより長い有効期限を持ちます。リフレッシュトークンも定期的にローテーションするか、ワンタイムユースにするなどの対策が推奨されます。漏洩リスクを考慮し、認可サーバーはリフレッシュトークンの発行時にクライアントのIPアドレス範囲などの条件を考慮できます。</p></li> <li><p><strong>クライアントシークレット</strong>: 機密クライアントの場合、<code>client_secret</code>は安全に保管し、定期的に更新する運用が必要です。</p></li> </ul></li> <li><p><strong>0-RTTの再送リスク</strong>: OAuth 2.0自体はHTTP/1.1やHTTP/2上で動作するため、直接的な0-RTT (Zero Round-Trip Time) は通常関与しません。しかし、HTTP/3 (QUIC) を基盤プロトコルとして利用する場合、TLS 1.3の0-RTT機能が利用される可能性があります。</p> <ul> <li>0-RTTデータはリプレイ攻撃のリスクを伴います。特にアクセストークンリクエストは冪等ではないため（一度使われた認可コードは無効）、認可サーバーは0-RTTで送信されたリクエストに対して厳格なリプレイ検出メカニズムを持つ必要があります。過去の0-RTTキーで送信されたリクエストや、すでに処理済みの認可コードを含むリクエストを拒否するなどの対策が必須です。</li> </ul></li> </ul> <h2 class="wp-block-heading">実装メモ</h2> <p>ネットワークエンジニアとしてOAuth 2.0の実装に関わる場合、アプリケーション層だけでなく、その下のトランスポート層やネットワーク層の特性も理解し、考慮することが重要です。</p> <ul class="wp-block-list"> <li><p><strong>MTU/Path MTU</strong>:</p> <ul> <li><p>HTTPリクエスト/レスポンスは、URIの長さ（特に<code>redirect_uri</code>、<code>state</code>、<code>code_challenge</code>などのパラメータ）、HTTPヘッダのサイズ、JSONレスポンスボディのサイズによって大きくなることがあります。</p></li> <li><p>これらのメッセージがネットワークの最大転送単位 (MTU: Maximum Transmission Unit) を超える場合、TCP層でセグメント化されます。Path MTU Discovery (PMTUD) が適切に機能しない環境では、パケットロスやフラグメンテーションによる性能劣化、接続確立の遅延が発生する可能性があります。</p></li> <li><p>特にモバイル環境ではMTUが小さい場合があるため、HTTPヘッダサイズを最小限に抑える努力も有効です。</p></li> </ul></li> <li><p><strong>HOL blocking回避 (Head-of-Line Blocking)</strong>:</p> <ul> <li><p><strong>HTTP/1.1</strong>: TCPのHOL blockingは、単一TCPコネクション上で複数のHTTPリクエストがパイプラインで送信された際、前のリクエストの応答が遅れると後続のリクエストもブロックされる現象です。OAuth 2.0のフロー自体はシーケンシャルなリクエストが多く、単一のクライアント-サーバー間では大きな影響は出にくいですが、認可サーバーやリソースサーバーが多数のクライアントからのリクエストを処理する際にはスケーラビリティに影響を与えます。</p></li> <li><p><strong>HTTP/2</strong>: ストリーム多重化により、TCPレベルのHOL blockingを回避し、一つのTCPコネクション上で複数のHTTPリクエスト/レスポンスを並行して処理できます。ヘッダ圧縮 (HPACK) も効率化に貢献します。</p></li> <li><p><strong>HTTP/3 (QUIC)</strong>: TCPではなくUDP上に構築され、ストリームレベルでのHOL blockingを完全に回避します。TLS 1.3を組み込み、0-RTTでの接続確立も可能です。OAuth 2.0プロバイダがHTTP/3をサポートすることで、特にモバイル環境でのレイテンシ改善が期待されますが、0-RTTのセキュリティ考慮が必須となります。</p></li> </ul></li> <li><p><strong>キュー制御と優先度</strong>:</p> <ul> <li><p>認可サーバーやリソースサーバーは、大量のリクエストを捌くために、ロードバランサーやアプリケーションサーバーレベルで適切なリクエストキュー制御を実装する必要があります。</p></li> <li><p>優先度付け (QoS: Quality of Service) は、システムが過負荷になった際に、クリティカルな認可リクエストやトークン更新リクエストを優先的に処理するために役立ちます。</p></li> </ul></li> <li><p><strong>クライアント実装の注意点</strong>:</p> <ul> <li><p><code>state</code> パラメータは、セッションと厳密に紐付け、推測困難で一意な値を生成し、認可レスポンスで返された値を正確に検証すること。</p></li> <li><p><code>redirect_uri</code> は、認可サーバー側で厳格なホワイトリスト登録を行い、動的な値やワイルドカードの使用は極力避けること。</p></li> <li><p>PKCEを常に利用すること (<code>S256</code> method)。<code>code_verifier</code>は一度使用したら破棄し、安全な方法で保管すること。</p></li> <li><p>アクセストークンやリフレッシュトークンは、クライアント側で安全に保管し、適切な有効期限チェックを行うこと。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">既存プロトコルとの比較（基盤プロトコル）</h3> <p>OAuth 2.0はアプリケーション層のプロトコルであるため、その下のトランスポート層プロトコルであるHTTP/1.1, HTTP/2, HTTP/3 (QUIC) との連携でその挙動が変化します。</p> <ul class="wp-block-list"> <li><p><strong>HTTP/1.1</strong></p> <ul> <li><p><strong>シンプルさ</strong>: 広く普及しており、実装が容易。</p></li> <li><p><strong>HOL Blocking</strong>: 単一TCPコネクションでのリクエスト多重化が限定的で、HOL Blockingが発生しやすい。</p></li> <li><p><strong>ヘッダオーバーヘッド</strong>: ヘッダの圧縮がないため、リクエストごとに同じヘッダが繰り返される。</p></li> </ul></li> <li><p><strong>HTTP/2</strong></p> <ul> <li><p><strong>ストリーム多重化</strong>: 単一TCPコネクションで複数のリクエスト/レスポンスを並行処理でき、HOL Blockingを緩和。</p></li> <li><p><strong>ヘッダ圧縮 (HPACK)</strong>: ヘッダの重複を排除し、データ転送量を削減。</p></li> <li><p><strong>サーバープッシュ</strong>: クライアントが要求する前にリソースをプッシュ可能（OAuthフローでは限定的）。</p></li> </ul></li> <li><p><strong>HTTP/3 (QUIC)</strong></p> <ul> <li><p><strong>UDPベース</strong>: TCPのHOL Blockingを完全に回避。ストリーム単位でのフロー制御。</p></li> <li><p><strong>TLS 1.3統合</strong>: TLSハンドシェイクとQUICハンドシェイクを統合し、接続確立のレイテンシを削減。0-RTT接続が可能。</p></li> <li><p><strong>コネクション移行</strong>: ネットワーク変更時（Wi-Fiからモバイルなど）でもコネクションを維持。</p></li> <li><p><strong>複雑性</strong>: QUICのプロトコルスタックが新しく、実装や運用がより複雑になる可能性。セキュリティの0-RTTリスクへの対処が必要。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>OAuth 2.0の認可コードフロー (<strong>RFC 6749</strong>) は、現代のWebサービス連携における安全な権限委譲のデファクトスタンダードです。PKCE (<strong>RFC 7636</strong>) と組み合わせることで、公開クライアントにおいても堅牢なセキュリティを提供します。</p> <p>ネットワークエンジニアとしては、このアプリケーション層のプロトコルがHTTP/TLSといった基盤プロトコル上でどのように動作し、その特性（MTU、HOL blocking、0-RTTなど）がパフォーマンスやセキュリティにどう影響するかを深く理解することが重要です。RFCに準拠した正確な実装と、基盤プロトコルの知識に基づく適切なインフラ設計・運用が、OAuth 2.0の安全性と効率性を最大限に引き出す鍵となります。</p>

sequenceDiagram
    participant U as ユーザー (リソースオーナー)
    participant C as クライアントアプリケーション
    participant AS as 認可サーバー
    participant RS as リソースサーバー

    U->C: 1. アプリケーション開始/機能要求
    C->AS: 2. 認可リクエスト(HTTP GET /authorize)(scope, client_id, redirect_uri, state, code_challenge, code_challenge_method)
    AS->U: 3. 認証・認可画面表示
    U->AS: 4. 認証情報入力 & 認可承認
    AS-->>C: 5. 認可コード発行 & リダイレクト(HTTP 302 Location: redirect_uri?code=...&state=...)
    C->AS: 6. アクセストークンリクエスト(HTTP POST /token)(grant_type=authorization_code, code, redirect_uri, client_id, [client_secret], code_verifier)
    AS->C: 7. アクセストークン発行(HTTP 200 OK)({access_token, token_type, expires_in, [refresh_token], [scope]})
    C->RS: 8. リソースアクセス(HTTP GET /resource)(Authorization: Bearer access_token)
    RS->C: 9. リソース応答(HTTP 200 OK)(要求されたリソース)

flowchart LR
    subgraph Client App
        C[クライアント]
    end

    subgraph User Browser
        U[ユーザー]
    end

    subgraph Authorization Server
        AS[認可サーバー]
    end

    subgraph Resource Server
        RS[リソースサーバー]
    end

    U -- |1. アプリ操作| --> C
    C -- |2. HTTP GET /authorize(scope, client_id, redirect_uri, state,code_challenge, code_challenge_method)| --> AS
    AS -- |3. 認証・認可UI| --> U
    U -- |4. 認証情報 & 認可承認| --> AS
    AS -- |5. HTTP 302 Redirect:redirect_uri?code=...&state=...| --> C
    C -- |6. HTTP POST /token(grant_type=authorization_code, code,redirect_uri, client_id, [client_secret], code_verifier)| --> AS
    AS -- |7. HTTP 200 OK:{access_token, token_type, expires_in,[refresh_token], [scope]}| --> C
    C -- |8. HTTP GET /resource(Authorization: Bearer access_token)| --> RS
    RS -- |9. HTTP 200 OK:リソースデータ| --> C

Host: variable
Path: /authorize
Query_Parameters:
  response_type: variable (e.g., "code")
  client_id: variable
  redirect_uri: variable (URL-encoded)
  scope: variable (space-separated, URL-encoded)
  state: variable (random string, URL-encoded)
  code_challenge: variable (PKCE, URL-encoded)
  code_challenge_method: variable (e.g., "S256", URL-encoded)
HTTP_Header: variable (User-Agent, etc.)

Host: variable
Path: /token
HTTP_Header:
  Content-Type: application/x-www-form-urlencoded
  Authorization: variable (Basic base64(client_id:client_secret) for confidential clients)
Body_Parameters:
  grant_type: variable (e.g., "authorization_code")
  code: variable
  redirect_uri: variable (URL-encoded)
  client_id: variable
  client_secret: variable (confidential clients only)
  code_verifier: variable (PKCE)