pikesaku’s blog

個人的な勉強メモです。記載内容について一切の責任は持ちません。

Oauth2.0/OpenID Connectについて

参考

イメージ

OAuth2.0を図解してみた(解説) - YouTube
OAuthを分かりやすく解説(セキュリティ入門#7) - YouTube
OAuthとパスワード - インゲージ情報セキュリティ講座 - YouTube

踏み込む

Oauth2.0

一番分かりやすい OAuth の説明 - Qiita
OAuth 2.0 全フローの図解と動画 - Qiita
OAuth 2.0 グラントフロー - Authlete

OpenID Connect

一番分かりやすい OpenID Connect の説明 - Qiita
OpenID Connect 全フロー解説 - Qiita

理解するには

OAuth & OIDC 入門編 by #authlete - YouTube
OAuth & OIDC 勉強会 リターンズ【入門編】に関する記事一覧 - ログミー
細部仕様など
TakahikoKawasaki - Qiita

他参考

DevelopersIO 2017 基礎からの OAuth 2.0 perform by 都元ダイスケ #cmdevio2017 - YouTube
第一回 認証基盤のこれからを支えるOpenID Connect | オブジェクトの広場
OAuthの概要とそれを取り巻く環境|【技業LOG】技術者が紹介するNTTPCのテクノロジー|【公式】NTTPC
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone
 

ポイント

Oauth2.0は、サービス間でリソースへのアクセス権限の許可を行う仕組み

 

サービス間連携で必要な認証を、ID/パスワードのやりとり不要で実現

サービスはトークンにより、別サービスのデータへのアクセスが許可される。トークン取得時には認証/認可が必要。
例) 昨今のメーラーはID/PW保存しない実装がされてる。
 

認証、認可

OAuth & OIDC 入門編 by #authlete - YouTubeより引用
f:id:pikesaku:20211004041238p:plain
認可する前に、認証もされるケースが多い。
 

技術 標準化の範囲 トーク
Oauth2.0 認可 アクセストーク
OpenID Connect 認証 IDトーク

 

Oauth2.0

一番分かりやすい OAuth の説明 - Qiitaより引用

登場人物

f:id:pikesaku:20211004032727p:plain

 

標準化の範囲

f:id:pikesaku:20211004032925p:plain

 

OpenID Connect

一番分かりやすい OpenID Connect の説明 - Qiitaより引用

IDトークンとは?

f:id:pikesaku:20211004033235p:plain

IDトークンは、ユーザーが認証された事実と属性情報を持つ。これを、他アプリで使いまわせばSSOができる。
 

登場人物

f:id:pikesaku:20211004033323p:plain

OpenIDプロバイダーはIdP
 

標準化の範囲

f:id:pikesaku:20211004033458p:plain

 

Oauth2.0とOpenID Connectの関係

f:id:pikesaku:20211004033925p:plain

Oauth2.0に認証を加えたもの。
 

よくある実装

f:id:pikesaku:20211004033915p:plain

OpenID プロバイダーが認可サーバーを兼ねる

アクセストークンの失効について

OAuth アクセストークンの実装に関する考察 - Qiita
失効のリアルタイム実装は難しい。
アクセストークンの有効期限を短くするのが妥当。