<p><!--META { "title": "OAuth 2.0 PKCEフローのセキュリティ強化と実運用での注意点", "primary_category": "セキュリティ", "secondary_categories": ["認証","APIセキュリティ","プロトコル"], "tags": ["OAuth2.0","PKCE","DPoP","PAR","FAPI","APIセキュリティ","認証フロー","Webセキュリティ"], "summary": "OAuth 2.0 PKCEフローのセキュリティを強化するための脅威モデル、攻撃シナリオ、対策、運用上の注意点を解説。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"OAuth 2.0 PKCEフローのセキュリティ強化を徹底解説！脅威モデルからDPoP/PAR導入、実運用での落とし穴まで、安全な実装のための具体的な対策を紹介します。 #OAuth2 #PKCE #セキュリティ","hashtags":["#OAuth2","#PKCE","#セキュリティ","APIセキュリティ"]}, "link_hints": [ "https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-07", "https://www.rfc-editor.org/rfc/rfc9449", "https://developer.okta.com/blog/2023/10/26/beyond-pkce-oauth-2-1" ] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">OAuth 2.0 PKCEフローのセキュリティ強化と実運用での注意点</h1> <p>OAuth 2.0は、Webサービスやモバイルアプリケーションがユーザーデータに安全にアクセスするための標準的なプロトコルです。中でもProof Key for Code Exchange (PKCE) フローは、公衆クライアント（モバイルアプリやSPAなど、クライアントシークレットを安全に保管できないクライアント）のセキュリティを大幅に向上させますが、それでもなお考慮すべき脅威や、さらなる強化策が存在します。本記事では、PKCEフローにおける脅威モデルを概説し、具体的な攻撃シナリオ、検出・緩和策、そして実運用における落とし穴について解説します。</p> <h2 class="wp-block-heading">脅威モデル</h2> <p>PKCEは、主に認証コード横取り攻撃に対する防御を目的としています。従来のOAuth 2.0 Implicitフローは、アクセストークンがURLフラグメントとしてブラウザに直接公開されるため、トークンの漏洩リスクが高く、OAuth 2.1では非推奨とされています [1]。PKCEフローでは、認証コードを介してアクセストークンを取得するため、このリスクは軽減されます。</p> <p>しかし、PKCEを導入しても以下の脅威は依然として存在します。</p> <ul class="wp-block-list"> <li><p><strong>認証コードの横取り（リダイレクトURIの悪用）:</strong> 悪意のあるアプリケーションが認証リクエストを傍受し、認可サーバーから発行された認証コードを横取りしようとする攻撃。PKCEはこれを緩和しますが、完全ではありません。</p></li> <li><p><strong>認証コードのリプレイ攻撃:</strong> 横取りした認証コードを、攻撃者が正規のクライアントになりすまして複数回使用しようとする攻撃。</p></li> <li><p><strong>CSRF (Cross-Site Request Forgery):</strong> 認証リクエスト時にユーザーをだまして、攻撃者の指定したパラメータで認可フローを開始させる攻撃。</p></li> <li><p><strong>アクセストークンの漏洩:</strong> トークンがクライアント側で適切に扱われない場合や、リソースサーバーへの送信中に傍受される場合。</p></li> <li><p><strong>クライアントなりすまし:</strong> 認可サーバーがクライアントを十分に認証できない場合に、攻撃者が正規のクライアントになりすます。</p></li> </ul> <h2 class="wp-block-heading">攻撃シナリオとPKCEの限界</h2> <p>PKCE (RFC 7636) [2] は、認証コードフローにおいて、クライアントが認証リクエスト時に<code>code_challenge</code>を送り、トークンリクエスト時に対応する<code>code_verifier</code>を送ることで、認可サーバーがこの両者を検証する仕組みです。これにより、認証コードを横取りした攻撃者が、対応する<code>code_verifier</code>を知らない限り、アクセストークンを取得できなくなります。</p> <p>しかし、PKCE単体では以下のシナリオには限界があります。</p> <h3 class="wp-block-heading">認証コード横取り攻撃とPKCE</h3> <ol class="wp-block-list"> <li><p><strong>攻撃者がユーザーをだます:</strong> フィッシングサイトや悪意のあるアプリを通じて、攻撃者はユーザーに偽のリダイレクトURIを持つ認証リクエストを提示します。</p></li> <li><p><strong>認証コードの横取り:</strong> ユーザーが認証を完了すると、認可サーバーは認証コードを攻撃者が指定したリダイレクトURIに送ってしまいます。</p></li> <li><p><strong>PKCEによる防御:</strong> 攻撃者は認証コードを横取りしますが、対応する<code>code_verifier</code>は知りません。トークンリクエスト時に<code>code_verifier</code>を提示できないため、認可サーバーはアクセストークンを発行しません。</p></li> </ol> <p>これはPKCEの主要な防御メカニズムですが、<code>code_verifier</code>が漏洩した場合や、攻撃者が中間者攻撃によって<code>code_verifier</code>も取得できた場合には破られる可能性があります。</p> <h3 class="wp-block-heading">認証コードリプレイ攻撃とDPoPの必要性</h3> <p>認証コードが一度使われた後に再度使われる「リプレイ攻撃」に対して、PKCEは認証コードが<code>code_verifier</code>とセットで一度しか使えないようにすることで一定の防御を提供します。しかし、アクセストークン自体が漏洩した場合、そのトークンが有効期間内であれば攻撃者は利用できてしまいます。</p> <p>ここでDPoP (Demonstrating Proof-of-Possession, RFC 9449) [3] が重要になります。DPoPは、アクセストークンと特定の公開鍵を紐づけ、リソースサーバーへのリクエスト時にクライアントがその公開鍵に対応する秘密鍵を所有していることを証明する仕組みです。これにより、アクセストークンが漏洩しても、秘密鍵を持たない攻撃者はそのトークンを使用できなくなります。</p> <h3 class="wp-block-heading">認可リクエストパラメータの改ざんとPARの必要性</h3> <p>PKCEはトークン交換時の検証に特化しており、最初の認可リクエストのパラメータ（スコープ、リダイレクトURIなど）の改ざんには直接対処できません。攻撃者が認可リクエストを傍受・改ざんすることで、不適切なスコープでトークンを取得したり、ユーザーを攻撃者のサイトにリダイレクトさせたりする可能性があります。</p> <p>この問題にはPAR (Pushed Authorization Requests, RFC 9126) [4] が有効です。PARは、認可リクエストのパラメータをユーザーエージェント経由で認可サーバーに送信する前に、バックチャネルで直接認可サーバーに送信し、<code>request_uri</code>を受け取る仕組みです。これにより、リクエストパラメータの横取りや改ざんを防ぎます。</p> <h3 class="wp-block-heading">認証コード横取り攻撃チェーンと強化策の可視化</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph 認証コード横取り攻撃チェーン A["ユーザー"] -->|1. 認証リクエスト (悪意あるリダイレクトURI)| B("認可サーバー") B -->|2. 認証コード発行| C("攻撃者") C -->|3. 認証コードを認可サーバーに提示| D("認可サーバー") D -->|4. アクセストークン発行| C C -->|5. リソースサーバーへアクセス| E("リソースサーバー") end subgraph PKCEによる防御 F["クライアントアプリ"] -->|P1. code_verifier & challenge 生成| G("ローカル") G -->|P2. 認証リクエストにcode_challenge追加| B C -->|P3. 認証コード & code_verifier を提示 (攻撃者はverifierを知らない)| D D -->|P4. code_challengeとverifierの不一致を検出| H["トークン発行拒否"] end subgraph PAR("Pushed Authorization Requests") による防御 I["クライアントアプリ"] -->|R1. 認証リクエストパラメータをPARエンドポイントへ事前送信| J("認可サーバー PARエンドポイント") J -->|R2. request_uri 発行| I I -->|R3. request_uriを含む認証リクエスト| B B -->|R4. request_uriを解決して認証フロー実行| K["悪意あるパラメータ無視/拒否"] end subgraph DPoP("Demonstrating Proof-of-Possession") による防御 L["クライアントアプリ"] -->|D1. DPoP鍵ペア生成| M("ローカル") M -->|D2. アクセストークンリクエスト時にDPoP JWTを認可サーバーへ送付| D D -->|D3. DPoPバウンドアクセストークン発行| L L -->|D4. リソースリクエスト時にDPoP JWTをリソースサーバーへ送付| E C -->|D5. 窃取したアクセストークンを提示 (DPoP JWTは生成不可)| E E -->|D6. DPoP JWTの不一致を検出| N["リソースアクセス拒否"] end A -- 攻撃開始 --> B B -- 認証コード横取り --> C C -- PKCE適用時 --> H C -- PAR適用時 --> K C -- DPoP適用時 --> N </pre></div> <h2 class="wp-block-heading">検出と緩和策</h2> <p>OAuth 2.0 PKCEフローをさらに強化するためには、以下の対策を複合的に実施することが推奨されます。</p> <h3 class="wp-block-heading">PKCE (Proof Key for Code Exchange) の厳格な導入</h3> <p>PKCEはOAuth 2.1 (Draft 07, 2024年3月28日更新) [1] で必須化されており、<code>code_challenge_method</code>として<code>S256</code>が必須です。</p> <h4 class="wp-block-heading">誤用例: <code>plain</code>メソッドの使用</h4> <p><code>plain</code>メソッドは<code>code_verifier</code>をそのまま<code>code_challenge</code>として送信するため、認証コードが横取りされた場合、<code>code_verifier</code>も容易に推測されてしまいます。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 誤ったPKCEの実装例（plainメソッドの使用） import secrets code_verifier_bad = secrets.token_urlsafe(64) # 例: "some-random-string" code_challenge_bad = code_verifier_bad # plainメソッドはそのまま print(f"誤ったcode_verifier (plain): {code_verifier_bad}") print(f"誤ったcode_challenge (plain): {code_challenge_bad}") # 認証コードを横取りした攻撃者は、code_challengeからcode_verifierを容易に推測できる </pre> </div> <h4 class="wp-block-heading">安全な代替: <code>S256</code>メソッドの利用</h4> <p><code>S256</code>メソッドは、<code>code_verifier</code>をSHA256でハッシュ化した後、Base64 URLエンコードするため、<code>code_challenge</code>から<code>code_verifier</code>を推測することは困難です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 安全なPKCEの実装例（S256メソッドの使用） import secrets import hashlib import base64 def generate_pkce_codes(): code_verifier = secrets.token_urlsafe(96) # 96文字以上のランダム文字列が推奨 # SHA256でハッシュ化 hashed = hashlib.sha256(code_verifier.encode('utf-8')).digest() # Base64 URLエンコード (パディングなし) code_challenge = base64.urlsafe_b64encode(hashed).decode('utf-8').rstrip('=') return code_verifier, code_challenge code_verifier_good, code_challenge_good = generate_pkce_codes() print(f"安全なcode_verifier (S256): {code_verifier_good}") print(f"安全なcode_challenge (S256): {code_challenge_good}") # 認可サーバーでの検証 # 認可サーバーはクライアントから受け取ったcode_verifierを同様にS256変換し、 # 最初に受け取ったcode_challengeと比較して一致すれば正当と判断する。 # 計算量: O(L) where L is length of code_verifier for hashing. # メモリ: O(L) </pre> </div> <ul class="wp-block-list"> <li><strong><code>code_verifier</code>の使い回し禁止:</strong> 各認証フローで一意の<code>code_verifier</code>を生成し、使用後は破棄します。</li> </ul> <h3 class="wp-block-heading">PAR (Pushed Authorization Requests) の導入</h3> <p>認可リクエストパラメータの横取りや改ざんを防ぐため、PARを導入します [4]。クライアントは認可リクエストの全パラメータを認可サーバーのPARエンドポイントへ直接（バックチャネルで）送信し、<code>request_uri</code>を受け取ります。ユーザーエージェント経由の認証リクエストでは、この<code>request_uri</code>のみをパラメータとして使用します。</p> <h4 class="wp-block-heading">クライアントシークレットの使用</h4> <p>PARエンドポイントへのリクエストは、機密クライアント（サーバーサイドアプリケーションなど）であればクライアントシークレットで認証することが推奨されます。これにより、リクエスト元のクライアントが正当であることを保証できます。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># PARリクエストの概念 (client_secret_post認証の場合) # curl -X POST https://auth.example.com/oauth2/par \ # -H "Content-Type: application/x-www-form-urlencoded" \ # -d "response_type=code&client_id=myclient&client_secret=mysharedsecret \ # &code_challenge=xyz...&code_challenge_method=S256 \ # &redirect_uri=https://client.example.com/cb&scope=openid%20profile" # 応答: {"request_uri": "urn:ietf:params:oauth:request_uri:a92289f6-6c0b-426c-9a4f-b67f4c4c2a71", "expires_in": 60} </pre> </div> <h3 class="wp-block-heading">DPoP (Demonstrating Proof-of-Possession) の導入</h3> <p>アクセストークンの漏洩やリプレイ攻撃対策として、DPoPを導入します [3]。</p> <h4 class="wp-block-heading">DPoPヘッダ生成の概念</h4> <p>クライアントは、自身のDPoP鍵ペア（秘密鍵と公開鍵）を生成し、アクセストークンリクエスト時に、その公開鍵の所有を証明するJWT (JSON Web Token) をDPoPヘッダとして含めます。このJWTには、HTTPメソッドやURLも含まれ、リプレイ攻撃を防ぎます。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># DPoP JWT生成の概念（簡略化） import jwt import datetime from cryptography.hazmat.primitives import hashes from cryptography.hazmat.primitives.asymmetric import rsa, ec from cryptography.hazmat.primitives import serialization # 実際にはクライアントの鍵ペアを使用 # private_key = rsa.generate_private_key(...) # public_key_jwk = { "kty": "RSA", "e": "AQAB", "n": "...", "alg": "RS256" } def generate_dpop_jwt(private_key, public_key_jwk, httpmethod, htu, ath=None): now = datetime.datetime.utcnow() payload = { "jti": secrets.token_urlsafe(16), # Replay attack prevention "iat": int(now.timestamp()), "exp": int((now + datetime.timedelta(seconds=60)).timestamp()), "htu": htu, # HTTP URL "htm": httpmethod # HTTP Method } if ath: payload["ath"] = ath # Access Token Hash (optional) # DPoP JWTのヘッダには公開鍵のJWKをセットする headers = { "typ": "dpop+jwt", "alg": "RS256", # または ES256 など "jwk": public_key_jwk } # private_keyで署名 dpop_jwt = jwt.encode(payload, private_key, algorithm=headers["alg"], headers=headers) return dpop_jwt # 誤用例: 鍵の使い回し、不適切なJWT署名 # DPoP鍵は各クライアントで固有かつ安全に管理されるべき。 # 各リクエストで新鮮なJTIを持つDPoP JWTを生成すること。 # JWT署名アルゴリズムは、鍵のタイプとセキュアなものを選ぶこと。 </pre> </div> <ul class="wp-block-list"> <li><strong>鍵のローテーション:</strong> DPoP鍵ペアも定期的にローテーションすることが推奨されます。</li> </ul> <h3 class="wp-block-heading">Stateパラメータの厳格な検証</h3> <p>CSRF攻撃を防ぐため、認可リクエストに<code>state</code>パラメータを付与し、トークンリクエスト後に認可サーバーから返却された<code>state</code>が、当初クライアントが生成したものと一致するかを厳格に検証します。<code>state</code>値は暗号学的に安全な方法で生成され、一度しか使用できないようにするべきです。</p> <h3 class="wp-block-heading">リダイレクトURIの厳格な検証</h3> <p>認可サーバーは、登録済みのリダイレクトURIのホワイトリストと、クライアントから送られてきたリダイレクトURIを厳格に比較する必要があります。ワイルドカードの使用は避け、完全一致で検証することが推奨されます。</p> <h3 class="wp-block-heading">リフレッシュトークンの管理</h3> <p>アクセストークンの有効期間を短くし、リフレッシュトークンを使用して新しいアクセストークンを取得する運用が一般的です。</p> <ul class="wp-block-list"> <li><p><strong>ローテーション:</strong> リフレッシュトークンは、使用のたびに新しいものに交換する「リフレッシュトークンローテーション」を導入します。これにより、漏洩したリフレッシュトークンの寿命を短くできます。</p></li> <li><p><strong>スコープ限定:</strong> リフレッシュトークンには、必要最小限のスコープのみを付与し、特定のAPIへのアクセスに限定します。</p></li> <li><p><strong>単一利用:</strong> 各リフレッシュトークンは一度しか使用できないようにします。</p></li> </ul> <h2 class="wp-block-heading">運用対策と落とし穴</h2> <h3 class="wp-block-heading">鍵/秘匿情報の取り扱い</h3> <ul class="wp-block-list"> <li><p><strong>クライアントシークレットの安全な保管:</strong> PARなどでクライアントシークレットを使用する場合、クライアントシークレットは環境変数、シークレットマネージャー、HSM (Hardware Security Module) / TPM (Trusted Platform Module) など、安全な場所に保管し、ソースコードにハードコードしない [5]。</p></li> <li><p><strong>DPoP鍵ペアの管理:</strong> DPoPで使用する鍵ペアはクライアントごとに固有とし、安全な鍵ストレージ（モバイル端末のキーストア、ブラウザのWeb Crypto APIなど）に保管します。</p></li> <li><p><strong>鍵のローテーションポリシー:</strong> クライアントシークレット、DPoP鍵ペアともに、定期的なローテーションポリシーを確立し、自動化します。</p></li> </ul> <h3 class="wp-block-heading">最小権限の原則</h3> <ul class="wp-block-list"> <li><p><strong>スコープの厳格な管理:</strong> クライアントアプリケーションに要求するスコープは、その機能に必要な最小限に限定します。<code>openid</code>や<code>profile</code>などの標準スコープ以外は、慎重に検討し、カスタムスコープを定義して利用します。</p></li> <li><p><strong>クライアントの権限分離:</strong> 異なる機能を持つクライアントは、異なる<code>client_id</code>を使い、それぞれの権限（スコープ）を分離します。</p></li> </ul> <h3 class="wp-block-heading">監査とログ監視</h3> <ul class="wp-block-list"> <li><p><strong>詳細なログ取得:</strong> 認証成功/失敗、トークン発行/拒否、リクエスト拒否、不正なリダイレクトURIの使用試行など、すべてのOAuth関連イベントをログに記録します。</p></li> <li><p><strong>異常検知とレートリミット:</strong> ログを監視し、短時間での認証失敗回数増加、異常なIPアドレスからのアクセス、疑わしい<code>code_challenge</code>や<code>code_verifier</code>のパターンなどを検知します。認可サーバー側でレートリミットを実装し、ブルートフォース攻撃を防ぎます。</p></li> <li><p><strong>検出遅延と誤検知のトレードオフ:</strong> 厳格なログ監視や異常検知ルールは、誤検知（合法なユーザーをブロック）や検出遅延（攻撃を見逃す）のリスクを伴います。しきい値の調整や機械学習を用いた異常検知など、バランスの取れた運用が必要です。</p></li> </ul> <h3 class="wp-block-heading">開発プロセスでのセキュリティ対策</h3> <ul class="wp-block-list"> <li><p><strong>セキュアコーディングガイドライン:</strong> OAuthクライアントおよび認可サーバーの開発者に対し、セキュアコーディングガイドラインを徹底させます。</p></li> <li><p><strong>定期的な脆弱性診断とペネトレーションテスト:</strong> 本番稼働前のテストはもちろん、定期的にセキュリティ診断やペネトレーションテストを実施し、潜在的な脆弱性を特定・修正します。</p></li> <li><p><strong>OWASP API Security Top 10:</strong> OWASP API Security Top 10 (2023年10月30日更新) [6] などの標準的なガイドラインに準拠した開発を心がけます。</p></li> </ul> <h3 class="wp-block-heading">可用性とのトレードオフ</h3> <ul class="wp-block-list"> <li><p><strong>複雑性とパフォーマンス:</strong> DPoPやPARのような高度なセキュリティ対策は、プロトコルフローの複雑性を増し、クライアント側の実装コストや、リクエストごとの署名・検証処理によるパフォーマンスオーバーヘッドを引き起こす可能性があります。特にDPoPは各APIリクエストでJWTを生成・署名・検証するため、レイテンシへの影響を考慮し、十分なパフォーマンステストが必要です。</p></li> <li><p><strong>ユーザー体験:</strong> セキュリティの強化は、場合によってはユーザー体験に影響を与えることがあります（例：頻繁な再認証要求）。セキュリティと利便性のバランスを適切に取る設計が求められます。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>OAuth 2.0 PKCEフローは公衆クライアントのセキュリティを大幅に向上させる基盤ですが、認証コードの横取りやアクセストークンの漏洩といった脅威に完全に対処できるわけではありません。OAuth 2.1で必須化されるPKCEに加え、PARによる認可リクエストの保護、DPoPによるアクセストークンの鍵束縛、そしてStateパラメータの厳格な検証といった、より高度なセキュリティ対策を組み合わせることで、堅牢な認証・認可システムを構築できます。</p> <p>これらの技術導入は、鍵管理、ログ監視、開発プロセスの改善といった運用上の対策と一体となって初めて真価を発揮します。セキュリティと利便性、パフォーマンスのトレードオフを理解し、現在のシステムに最適な対策を講じることが、実務における重要な課題となります。</p> <hr/> <p><strong>参考文献:</strong> [1] IETF. “The OAuth 2.1 Authorization Framework (Draft 07)”. Updated 2024年3月28日. <a href="https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-07">https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-07</a> (Aaron Parecki, Torsten Lodderstedt, Nat Sakimura) [2] IETF. “RFC 7636: Proof Key for Code Exchange by OAuth Public Clients”. Published 2015年9月1日. <a href="https://www.rfc-editor.org/rfc/rfc7636">https://www.rfc-editor.org/rfc/rfc7636</a> (Nat Sakimura, John Bradley, Aaron Parecki) [3] IETF. “RFC 9449: OAuth 2.0 Demonstrating Proof-of-Possession (DPoP)”. Published 2023年7月1日. <a href="https://www.rfc-editor.org/rfc/rfc9449">https://www.rfc-editor.org/rfc/rfc9449</a> (Torsten Lodderstedt, Mike Jones, Nat Sakimura) [4] IETF. “RFC 9126: OAuth 2.0 Pushed Authorization Requests”. Published 2022年9月1日. <a href="https://www.rfc-editor.org/rfc/rfc9126">https://www.rfc-editor.org/rfc/rfc9126</a> (Brian Campbell, George Fletcher) [5] Okta Developer Blog. “Beyond PKCE: The Path to OAuth 2.1”. Published 2023年10月26日. <a href="https://developer.okta.com/blog/2023/10/26/beyond-pkce-oauth-2-1">https://developer.okta.com/blog/2023/10/26/beyond-pkce-oauth-2-1</a> (Aaron Parecki) [6] OWASP. “API Security Top 10 2023”. Updated 2023年10月30日. <a href="https://owasp.org/API-Security/editions/2023/en/0x11-broken-authentication/">https://owasp.org/API-Security/editions/2023/en/0x11-broken-authentication/</a></p>

graph TD
    subgraph 認証コード横取り攻撃チェーン
        A["ユーザー"] -->|1. 認証リクエスト (悪意あるリダイレクトURI)| B("認可サーバー")
        B -->|2. 認証コード発行| C("攻撃者")
        C -->|3. 認証コードを認可サーバーに提示| D("認可サーバー")
        D -->|4. アクセストークン発行| C
        C -->|5. リソースサーバーへアクセス| E("リソースサーバー")
    end

    subgraph PKCEによる防御
        F["クライアントアプリ"] -->|P1. code_verifier & challenge 生成| G("ローカル")
        G -->|P2. 認証リクエストにcode_challenge追加| B
        C -->|P3. 認証コード & code_verifier を提示 (攻撃者はverifierを知らない)| D
        D -->|P4. code_challengeとverifierの不一致を検出| H["トークン発行拒否"]
    end

    subgraph PAR("Pushed Authorization Requests") による防御
        I["クライアントアプリ"] -->|R1. 認証リクエストパラメータをPARエンドポイントへ事前送信| J("認可サーバー PARエンドポイント")
        J -->|R2. request_uri 発行| I
        I -->|R3. request_uriを含む認証リクエスト| B
        B -->|R4. request_uriを解決して認証フロー実行| K["悪意あるパラメータ無視/拒否"]
    end

    subgraph DPoP("Demonstrating Proof-of-Possession") による防御
        L["クライアントアプリ"] -->|D1. DPoP鍵ペア生成| M("ローカル")
        M -->|D2. アクセストークンリクエスト時にDPoP JWTを認可サーバーへ送付| D
        D -->|D3. DPoPバウンドアクセストークン発行| L
        L -->|D4. リソースリクエスト時にDPoP JWTをリソースサーバーへ送付| E
        C -->|D5. 窃取したアクセストークンを提示 (DPoP JWTは生成不可)| E
        E -->|D6. DPoP JWTの不一致を検出| N["リソースアクセス拒否"]
    end

    A -- 攻撃開始 --> B
    B -- 認証コード横取り --> C
    C -- PKCE適用時 --> H
    C -- PAR適用時 --> K
    C -- DPoP適用時 --> N

# 誤ったPKCEの実装例（plainメソッドの使用）

import secrets

code_verifier_bad = secrets.token_urlsafe(64) # 例: "some-random-string"
code_challenge_bad = code_verifier_bad # plainメソッドはそのまま
print(f"誤ったcode_verifier (plain): {code_verifier_bad}")
print(f"誤ったcode_challenge (plain): {code_challenge_bad}")

# 認証コードを横取りした攻撃者は、code_challengeからcode_verifierを容易に推測できる

# 安全なPKCEの実装例（S256メソッドの使用）

import secrets
import hashlib
import base64

def generate_pkce_codes():
    code_verifier = secrets.token_urlsafe(96) # 96文字以上のランダム文字列が推奨

    # SHA256でハッシュ化

    hashed = hashlib.sha256(code_verifier.encode('utf-8')).digest()

    # Base64 URLエンコード (パディングなし)

    code_challenge = base64.urlsafe_b64encode(hashed).decode('utf-8').rstrip('=')
    return code_verifier, code_challenge

code_verifier_good, code_challenge_good = generate_pkce_codes()
print(f"安全なcode_verifier (S256): {code_verifier_good}")
print(f"安全なcode_challenge (S256): {code_challenge_good}")

# 認可サーバーでの検証


# 認可サーバーはクライアントから受け取ったcode_verifierを同様にS256変換し、


# 最初に受け取ったcode_challengeと比較して一致すれば正当と判断する。


# 計算量: O(L) where L is length of code_verifier for hashing.


# メモリ: O(L)

# PARリクエストの概念 (client_secret_post認証の場合)


# curl -X POST https://auth.example.com/oauth2/par \


#      -H "Content-Type: application/x-www-form-urlencoded" \


#      -d "response_type=code&client_id=myclient&client_secret=mysharedsecret \


#          &code_challenge=xyz...&code_challenge_method=S256 \


#          &redirect_uri=https://client.example.com/cb&scope=openid%20profile"


# 応答: {"request_uri": "urn:ietf:params:oauth:request_uri:a92289f6-6c0b-426c-9a4f-b67f4c4c2a71", "expires_in": 60}

# DPoP JWT生成の概念（簡略化）

import jwt
import datetime
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import rsa, ec
from cryptography.hazmat.primitives import serialization

# 実際にはクライアントの鍵ペアを使用


# private_key = rsa.generate_private_key(...)


# public_key_jwk = { "kty": "RSA", "e": "AQAB", "n": "...", "alg": "RS256" }

def generate_dpop_jwt(private_key, public_key_jwk, httpmethod, htu, ath=None):
    now = datetime.datetime.utcnow()
    payload = {
        "jti": secrets.token_urlsafe(16), # Replay attack prevention
        "iat": int(now.timestamp()),
        "exp": int((now + datetime.timedelta(seconds=60)).timestamp()),
        "htu": htu, # HTTP URL
        "htm": httpmethod # HTTP Method
    }
    if ath:
        payload["ath"] = ath # Access Token Hash (optional)

    # DPoP JWTのヘッダには公開鍵のJWKをセットする

    headers = {
        "typ": "dpop+jwt",
        "alg": "RS256", # または ES256 など
        "jwk": public_key_jwk
    }

    # private_keyで署名

    dpop_jwt = jwt.encode(payload, private_key, algorithm=headers["alg"], headers=headers)
    return dpop_jwt

# 誤用例: 鍵の使い回し、不適切なJWT署名


# DPoP鍵は各クライアントで固有かつ安全に管理されるべき。


# 各リクエストで新鮮なJTIを持つDPoP JWTを生成すること。


# JWT署名アルゴリズムは、鍵のタイプとセキュアなものを選ぶこと。