OAuth いつまでたっても難しい...
セッション
世界一わかりみの深いOAuth入門 〜認可の基礎から応用まで〜
講師:武井 宜行(たけい のりゆき)氏
- おすすめ本:OAuth 徹底入門
- OAuth の特徴
- 認証認可は IDaaS に任せる
- Auth0, Azure Active Derectory
- 色んなフロー
- 認可コードフロー:Auth0 で Web サイトが認証認可するやつなど
- これだけ押さえれば怖くない
responce_type
がcode
になる
- インプリシットフロー:モバイルアプリなどが利用
- クライアントID、シークレットをクライアントアプリには埋めない
- これらはかなり強い権限を持つので信頼できる相手にしか渡さない
responce_type
がtoken
になる
- クライアントID、シークレットをクライアントアプリには埋めない
- クライアントクレデンシャルズフロー:バッチ処理などで利用
- 認可コードフロー:Auth0 で Web サイトが認証認可するやつなど
- リフレッシュトークン
- アクセストークン
- OAuth では形式を定めてない
- JSON Web Token などを利用
- OAuth認証の危険性
所感
この1年ほど OAuth を勉強していたので理解はできたのですが、やっぱり慣れないと難しいですね。
資料が膨大で説明では重要な部分だけでしたが改めて端的に説明してもらえると理解が深まるので助かります。