OAuth2.0を作りながら理解する

wqwq

Mar 13, 2022

OAuth2.0の目的

OAuth2.0の目的は、IDとパスワードを渡すことなく、APIにアクセスできるようになることになります。

背景として、アプリ開発においてユーザーの認証情報を共有せず、ユーザーの代わりにAPI(リソース)にアクセスすることを許可することが求められたことがあります。

Software Design (ソフトウェアデザイン) 2020年11月号 [雑誌]

AmazonでSoftware Design 編集部のSoftware Design (ソフトウェアデザイン) 2020年11月号…

www.amazon.co.jp

OAuth2.0の仕様

大まかな処理の流れ

クライアントは必要なパラメータを使用し、認可エンドポイントに認可リクエストを送信する
クライアントは、認可画面において承認・非承認を行う
認可サーバーは、あらかじめ受け取ったリダイレクトURI先にリダイレクトさせる。そのときに認可コードが含まれている
クライアントは、認可コードを用いてトークン発行のリクエストを送信する
認可サーバーは、アクセストークンを発行する

http://openid-foundation-japan.github.io/rfc6749.ja.html#code-authz-req より引用

RFC 6749 - The OAuth 2.0 Authorization Framework

Internet Engineering Task Force (IETF) D. Hardt, Ed. Request for Comments: 6749 Microsoft Obsoletes:5849 October 2012…

datatracker.ietf.org

The OAuth 2.0 Authorization Framework

OAuth 2.0 は, サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークである. サードパーティーアプリケーションによるアクセス権の取得には…

openid-foundation-japan.github.io

実装するときに気をつけること

基本的に認可エンドポイント、トークンを発行するエンドポイントの2つを実装する
認可画面を作る(このときユーザーは承認か否認を行うことができる)
認可レスポンスには、302を使用しリダイレクトさせる

雰囲気でOAuthを使っていたエンジニアがOAuthサーバ(RFC6749)を自作してみる

はじめに Auth屋さんの本やその他有識者のBlogなどを読むことで少しながらOAuthやOIDCの仕組みが理解できてきました。そんななかで以下の記事が大変勉強になりました。…

zenn.dev

OAuth 2.0 の勉強のために認可サーバーを自作する — Qiita

OAuth 2.0 の仕様書である RFC 6749 は、認可サーバー（authorization server）の動作を定めています。この記事は、認可サーバーを簡易的に実装することで、OAuth 2.0…

qiita.com

OAuth 2.0 の認可レスポンスとリダイレクトに関する説明 - Qiita

この記事では、OAuth 2.0 の認可サーバーが返す認可レスポンスと、それに伴うリダイレクト処理について説明します。動画解説のほうがお好みであれば、オンライン勉強会『 OAuth & OIDC 勉強会【認可リクエスト編】』の『…

qiita.com

動作確認

実装した後の動作確認としては、OAuth2.0 debuggerが非常に便利です。
必要な項目を入力し送信して、最終的に認可コードを受け取れればOKです。その次に認可コードを用いて、トークンを発行します。

OAuth 2.0 debugger

Test and debug OAuth 2.0 requests. This free tool makes it easy to send requests and view responses.

oauthdebugger.com

OpenID Connect との違い

OAuth2.0は認可のための仕組みであり、OpenID Connectは認証・認可のために仕組みです。つまりOpenID Connectは、OAuth2.0にはなかった認証の仕組みが追加されています。具体的には、JWTで生成されたIDトークンを受け渡す仕組みを備えています。