こんにちは！バクラク事業部の@ysakura_です。 先日、バクラクシリーズで共通的に利用できる OAuth 2.0 の認可サーバーを開発しました。今回は、認可サーバーを開発する中で直面したB2B特有に意識すべき点を紹介します。 会社・従業員という概念が登場するため、個人向けの場合と比べて考慮する要素が増えます。 連携担当の権限チェック お客様のデータを他社のサービスに連携するので、想定外の連携を発生させない事が重要です。その為、連携担当者が管理者権限を有しているかのチェックを入れています。 こういった機構が無いと、一般権限の従業員が 攻撃者のサービス に誤ってデータ連携をする事が起こり得ます。また、従業員個人のアプリに会社の情報を引き抜く事も原理的には可能です。(あまり想定したくはありませんが) 上場企業やIPO準備企業では、内部統制として求められる内容かと思います。 毎回ログインを要求