FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:OAuth 2.0の説明として適切なものはどれか。
問題
OAuth 2.0の説明として適切なものはどれか。
- ア IPアドレスによるアクセス制御の仕組み
- イ 二要素認証を実現するプロトコル
- ウ パスワードを暗号化して保存する仕組み
- エ 利用者のパスワードを渡さずに、サードパーティアプリにリソースへのアクセス権限を委譲する認可フレームワーク(正解)
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:利用者のパスワードを渡さずに、サードパーティアプリにリソースへのアクセス権限を委譲する認可フレームワーク
正解はエ:OAuth 2.0は、利用者のパスワードをサードパーティアプリに渡さず、限定されたアクセス権を委譲するための認可フレームワークです。ポイントは「認証」そのものではなく「認可」、つまり何にアクセスしてよいかを許可する仕組みであるという点です。
具体例:例えば、写真共有アプリに対して「Google Driveの特定ファイルを読む権限だけを許可する」といった使い方ができます。このときアプリはパスワードではなくアクセストークンを使ってリソースへアクセスします。
誤りの選択肢:アはIP制限、イは二要素認証、ウはパスワード保存の説明です。OAuth 2.0は「パスワードを渡さず権限を委譲」と覚えておくと迷いません。
他の選択肢はなぜ違う?
- アIPアドレスによる制御はファイアウォールの話。
- イ二要素認証は認証方式の話。OAuthは認可の仕組み。
- ウパスワードの暗号化保存はハッシュ化などの話。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。