OAuth 2 はセキュリティトークンを使用してリプレイ攻撃などからどのように保護しますか? 質問する

OAuth 2.0 が実際にどのように機能するか:

仕事に行く途中、オラフのベーカリーの前を車で通ったとき、ショーウインドウにとてもおいしそうなドーナツが目に入りました。チョコレートのおいしさが滴り落ちているドーナツです。そこで店に入って「あのドーナツが食べたい!」と頼みました。すると店員は「もちろん、30ドルだよ」と言いました。

ええ、わかっています。ドーナツ 1 個に 30 ドルもするなんて！きっとおいしいんでしょうね。財布に手を伸ばしたとき、突然シェフが「ダメ！ドーナツはあげません」と叫ぶのが聞こえました。なぜかと尋ねました。彼は銀行振込しか受け付けないと言いました。

マジで？そう、彼は本気だった。私はその場で立ち去ろうとしたが、そのときドーナツが私に呼びかけた。「私を食べなさい、私はおいしいから…」。ドーナツの命令に従わない私が何者か？私は「わかった」と言った。

彼は私に、彼の名前（ドーナツではなくシェフの名前）が書かれたメモを渡しました。「オラフが紹介したと伝えてください」。メモにはすでに彼の名前が書かれていたので、なぜそう言うのか分かりませんが、まあいいでしょう。

私は車で1時間半かけて銀行に向かいました。私はその紙幣を窓口係に渡し、オラフが私を送ったと伝えました。彼女は私に「私は読めるわ」と言っているような表情を向けました。

彼女は私の紙幣を受け取り、身分証明書の提示を求め、いくら渡してもいいか尋ねました。私は 30 ドルだと答えました。彼女は走り書きをして、別の紙幣を私に渡しました。この紙幣にはたくさんの数字が書かれていました。私はそれが紙幣の記録方法なのだろうと思いました。

その時点で私はお腹が空いていました。私は急いでそこから出て、1時間半後に戻ってきて、オラフの前に立ってメモを差し出しました。彼はそれを受け取り、ざっと目を通した後、「また来ます」と言いました。

私は彼が私のドーナツを取っていると思ったが、30分後には疑い始めていた。そこで私はカウンターの後ろにいる男に「オラフはどこだ？」と尋ねた。彼は「お金を取りに行った」と言った。「どういう意味？」「彼は銀行にメモを持って行った」。

ふーん...オラフは銀行から渡された紙幣を持って銀行に戻り、私の口座からお金を引き出したんだ。銀行から渡された紙幣を持っていたので、銀行は彼が私が話していた男だと知っていたし、私が銀行と話していたので、銀行は彼に30ドルしか渡さないことを知っていたんだ。

それに気づくのに長い時間がかかったに違いありません。というのも、私が見上げると、オラフが私の前に立って、ようやくドーナツを手渡してくれていたからです。私は立ち去る前に、「オラフ、ドーナツはいつもこんな風に売っていたの？」と尋ねずにはいられませんでした。「いいえ、以前は違うやり方をしていました。」

ふーん。車に戻って歩いていると、電話が鳴った。出ようとはしなかった。多分、職場から解雇の電​​話だったんだろう。私の上司は最低だ。それに、私は自分がたった今経験した手続きのことばかり考えていた。

考えてみてください。私はオラフに口座情報を教えることなく、オラフに 30 ドルを引き出させることができました。また、彼が引き出し可能な金額は 30 ドルまでと銀行に伝えていたので、彼が多額のお金を引き出してしまうのではないかと心配する必要もありませんでした。そして銀行は、オラフに渡すようにと私に渡した紙幣を持っていたことから、彼が適任だと知っていました。

ええ、もちろん、ポケットから 30 ドル渡したいです。でも、彼がその紙幣を持っているので、銀行に毎週 30 ドル引き出すように伝えれば、パン屋に行くだけで、銀行に行く必要がなくなります。望めば、電話でドーナツを注文することもできます。

もちろん私はそんなことはしません。あのドーナツは不味かったからです。

このアプローチはもっと幅広く応用できるのだろうか。彼はこれが2番目のアプローチだと言っていたので、オラフ2.0と呼んでもいいだろう。とにかく家に帰ったほうがいい。新しい仕事を探し始めなければならない。でも、その前に街の向こうの新しい店でストロベリーシェイクを飲んで、あのドーナツの味を洗い流す何かが必要だ。