OAuth2は認証用ではありません

Question

OAuth2が認証に不十分な主な理由は何ですか？

私は、userAがevil.comにログインすると、evil.comの所有者はuserAのaccess_tokenをgood.com（またはfbのWebサイトでの他のログイン）に送信し、userAとふりをすることができます。

しかし、アクセストークンがそれを意図していた場合good.comチェックは、その後、私は攻撃の可能性が表示されない場合は...

私はこれについて大騒ぎを見ることはできません。例えばfacebookは、私がaccess_tokenの詳細を取得したときに私にApp idを与えます。私がこれをチェックしているなら、攻撃はどのように可能ですか？

セキュリティ上の脆弱性ではありませんが、標準の欠如ですか？どのスコープやどのフィールドのメールが好きですか？

Answer 1

受け取ったアクセストークンは、クライアントに発行された認証を表しています。クライアントは保護されたリソースにアクセスすることができますが、リソースの所有者に関する情報は提供されません。

あなたの例では、evil.comはuserAを所有するリソースを取得できますが、userAが誰であるかを知ることはできません。

this excellent video（OAuth2と認証/認証条件について）を参照してください。それは私をたくさん助けました。

Answer 2

アクセストークンは、リソース所有者に関する情報（場合によって）情報を提供しますが、リソース所有者が存在するかどうか、および/またはユーザーが識別できるかどうかについての情報は提供しません未定義の非標準的な方法でトークンがあなたのために意図されていたかどうか（後者は、OPがすでに言及しているようにOAuth 2.0よりもOpenID Connectのもう1つの利点です）。