やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ネットワークスペシャリスト【H30秋午後Ⅱ問1設問3】No.2

設問3(2)

f:id:aolaniengineer:20190925052415p:plain

f:id:aolaniengineer:20190925052459p:plain

f:id:aolaniengineer:20190925052214p:plain

 該当箇所は、「Wさんは、④アクセストークンの有効期間を10分間、リフレッシュトークンの有効期間を60分間と想定し、トークンの運用を確認した。」です。

 まず、設問にもありますが、「提供するAPIの範囲を変更する場合」はアクセストークンを変更することについて、念の為、確認します。

 問題文に以下のように説明されています。

アクセストークンは、アクセス可能なAPIと有効期間に関する情報が含まれており、業務サーバはそれらの情報からアクセスの可否を決める。
Xシステムでは、顧客ごとに異なるアクセストークンを定義し、認可サーバに格納しておく。

 したがって、アクセストークンは認可サーバに格納され、その有効期間が10分間となります。

 問われているのは「変更してから最長で何分か」であり、有効期間の10分後かなと考えつきますが、リフレッシュトークンの有効期間60分も気になります。

 図6を確認して、認可サーバがWebAPにアクセストークンを応答する箇所を確認します。

 「(Ⅰ)有効なトークンがない場合」では、最新のアクセストークンが応答されますので、即座に変更が有効になります。

 「(Ⅱ)アクセストークンが有効な場合」では、アクセストークンの応答がないので、変更は反映されません。この状態はアクセストークンの有効期間10分間は継続されます。

 「(Ⅲ)リフレッシュトークンだけが有効な場合」では、アクセストークンでの情報要求がエラー応答となっているので、有効期間を過ぎていると考えられます。その後、リフレッシュトークンでの要求後に最新のアクセストークンが応答されています。

 したがって、アクセストークンの有効期間10分間が最長となります。

 尚、細かいことを気にすると、リフレッシュトークンのやり取りの時間も考慮する必要はないか、認可サーバからアクセストークンの変更通知などがあれば即座に反映できるのではないかなとも思いますが、問題文には記述がないことは考慮しないということが重要です。

 正解は以下の通りです。

 「10」(分後)

設問3(3)

f:id:aolaniengineer:20190925061523p:plain

 該当箇所は、「⑤顧客向けのAPI利用ガイドラインには、この対策に必要な顧客への依頼内容を明記することにした。」です。

 「この対策」について直前に説明されています。

これは、図6中の認可サーバに、HTTPリクエストに含まれるURIとあらかじめ登録されている絶対URLが一致することを確認させる、という対策である。

 認可サーバが絶対URIを登録するには、顧客からURIの情報を受領する必要があります。また、変更の際には事前に通知してもらう必要があります。

 解答の記述は迷うところですが、本質の部分が合っていれば問題ないと思われます。

 正解は以下の通りです。

 「WebAPのURIを固定にし、絶対URIを事前に通知してもらう