情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

OAuth2.0は、異なるドメインやプラットフォーム間で、 サードパーティアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワークです（RFC6749）。

OAuth2.0は、ユーザーの許可をもとにWebサービスがアクセストークンをサードパーティアプリケーションに発行し、アプリケーションがユーザーの代理としてWebサービスにアクセスできる仕組みです。ユーザーの認証情報を直接アプリケーションに渡さなくても、ユーザーの権限を委譲するための安全な方法として利用されます。

OAuth2.0では以下の3種類のロール(役)が登場します。

リソースオーナー（resource owner）

リソースサーバ内の保護された情報へのアクセスを許可するエンドユーザーであり、クライアントの利用者のこと。この設問では利用者Cが該当する

リソースサーバ（resource server）

保護された情報を保持し、Webサービスを提供するアプリケーションのこと。リソースオーナーを認証しクライアントにアクセストークンを発行する認可サーバ(authorization server)の役割を兼ねることが多い。この設問ではWebサービスAが該当する

クライアント（client）

リソースオーナーの認可を得てリソースサーバにアクセスするサードパーティアプリケーションのこと。この設問ではWebサービスBが該当する

この設問におけるOAuth2.0の大まかなフローは次のようになります。

1. 利用者Cが、WebサービスBにアクセスする
2. WebサービスBは、利用者をWebサービスAにリダイレクトし、認証・認可手続きを促す
3. 利用者は、WebサービスAで認証を受け、リソースの使用を認可する
4. WebサービスAは、利用者からの認可に基づいて、WebサービスBに対してアクセストークンを発行する
5. WebサービスBは、アクセストークンなどを含めたHTTPリクエストをWebサービスAに送信する
6. WebサービスAは、HTTPリクエストが正当なものであるかを検証し、妥当であればリソースを含むHTTPレスポンスをWebサービスBに返す

OAuth2.0では、リソースサーバ（WebサービスA）からクライアント（WebサービスB）に対してアクセストークンが発行されます。したがって適切な動作は「ア」です。