OpenID Connectを理解する

前回に引き続き認証のことを書いていきたいと思います。
前回の記事はこちらです。

OAuth2.0を作りながら理解する

OpenID Connectとは

OAuth2.0では認可だけを扱っていたのを認証もさせるようにした仕組みのことを指します。そのため、OpenID Connect はOAuth2.0の拡張版と言ってよさそうです。

OAuth2.0との違い

上記でも少し触れましたが、認証の部分が差分になります。具体的には、OpenID Connectではアクセストークンと同時にID トークンを返すようになります。

go-oidcを使ったサンプル実装

上記でOpenID Connectの仕組みは理解できたと思うので、実際に動かして見ます。今回は go-oidcというパッケージを使用したいと思います。

GitHub - coreos/go-oidc: A Go OpenID Connect client.

設定

READMEに記載しているとおりに設定します。

• サイドバーの「OAuth同意画面」でアプリ情報を登録する
• サイドバーの「認証情報」から「OAuth クライアントID」を作成する

実装

下記のサンプル実装を見ていきたいと思います。

go-oidc/app.go at v3 · coreos/go-oidc

実装されているエンドポイントは、認可エンドポイントとトークン発行のエンドポイントになります。
設定で、「承認済みの JavaScript 生成元」と「承認済みのリダイレクト URI」を設定したと思いますが、それぞれが認可エンドポイント、トークン発行のエンドポイントになっていることがわかります。

認可エンドポイント
認可エンドポイントでは、URLをリダイレクトさせているだけになります。リダイレクト先は、Googleの認証画面になります。

http.Redirect(w, r, config.AuthCodeURL(state, oidc.Nonce(nonce)), http.StatusFound)

トークン発行エンドポイント
ユーザーが認証したら認可コードを使用し、IDトークンとAccessTokenを取得します。

rawIDToken, ok := oauth2Token.Extra("id_token").(string)
if !ok {
  http.Error(w, "No id_token field in oauth2 token.", http.StatusInternalServerError)
  return
}
idToken, err := verifier.Verify(ctx, rawIDToken)
if err != nil {
  http.Error(w, "Failed to verify ID Token: "+err.Error(), http.StatusInternalServerError)
  return
}

パラメータについて
state
クロスサイトリクエストフォージェリ（CSRF）対策のために使用されます。

RFC 6749: The OAuth 2.0 Authorization Framework

nonce
リプレイアタック対策のために使用します。

OpenID Connectのstateとnonceの違いがわからなかった - Qiita

PKCE(ピクシー)
認可コード横取り攻撃を防ぐためのものです。

PKCE で防げる「認可コード横取り攻撃」とはどのような攻撃か - Qiita

SSOとの違い

SSO(シングルサインオン)は、このOPenID Connectを内部的に使っているという理解でいます。

参考記事

一番分かりやすい OpenID Connect の説明 - Qiita

OAuth 2.0/OpenID Connectの2つのトークンの使いみち - Qiita

OpenID Connect 1.0｜認証と認可の超サマリ OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本

OAuth 2.0, OpenID Connect の state, PKCE, について調べた