ちょっくら、OAuth Wrap Web App Profile をシーケンス図にまとめてみた。
#こんなの、spec自体に入っていてほしいんですが…。
注意点:
- wrap_client_id と wrap_client_secret は、事前に AuthzServer より WebAppClient に割り当てられています。
- Access Token は、Resource と AuthzServer の間で取り決められた、Opaque な文字列で、Bearer Token (所持人払いToken)として機能します。
- すべての通信はHTTPSで行うため、署名は必要ないということになっています。[*1]