Oauth2.0を学んだついでにOpenID Connect とか認証と認可の辺りを調べた時の話です。2014年3月に作成しました。元々は、googleのAPIを利用するに辺り、oAuth2.0の周辺知識を確認するために実施しました。

1. Oauth2.0を学んだついでにOpenID
Connect とか認証と認可を調べた時の
話
Shunsuke Mihara
2014/3/31

2. ※2014/03に勉強会した時の内容で
す。googleのAPIコンソールのUI等、
2016/02時点で異なります。

3. 自己紹介
• 最近はすっかりmacずいてます。
（macBookAir,macBook
Pro,iPhone）
• APIに関しては仕事で利用する
事が多かったので、色々興味あ
ります。
• 読書する本の電子書籍化の波が
半端無くおしよせています。

4. まず最初に
認証と認可の違いの話をします。

5. 認証
ユーザのアイデンティ、つまり「ユーザが自分自身が何者
であると主張しているか」を検証するプロセス。
例えば、ID/パスワードで認証するようなシステムだと、
ログインIDでアイデンティティを判別し、パスワードでそ
の妥当性を判断する
Authentication

6. 認可
何らかの行為を行う際に、当該ユーザにその権限があるの
かどうかを検証するプロセス。
認証したからと言って全ての権限を与えるのではなく、そ
の中の機能の一部のみ利用できるする際には必要。
Authorization

7. 本日は、認証としては
「OpenID connect」,
認可としては
「Oauth2.0」
の話をします。

8. 本日話すこと
1. Oauth2.0の話
2. OpenID Connectの話
3. OpenID Connectの実装（動作を見せます）

9. 1. Oauth2.0の話

10. Oauthでできる事

11. API提供サービス（googleとか）の
パスワードを知らなくても、
API利用サービスは提供APIを
利用できちゃいます
→API利用サービスのユーザーは、安心して利用できる。

12. API提供サービス（googleとか）の
一部の機能だけを、
API利用サービスは提供APIを
利用できちゃいます
→API利用サービスのユーザーは、安心して利用できる。

13. 極端な一例（Oauthが無い場
合）
• とあるサービスで、googleカレンダー連携するために、
googleのIDとパスワードとか、渡して大丈夫かしら
ん？
• googleで色々管理しているから、もしもこれを悪用さ
れたらgoogleDocs見られたら、機密情報丸見えだ
し、写真もアップしてるから、プライベートが流出しそ
う。

14. 極端な一例（Oauthが無い場
合）
• とあるサービスで、googleカレンダー連携するために、
googleのIDとパスワードとか、渡して大丈夫かしら
ん？
• googleで色々管理しているから、もしもこれを悪用さ
れたらgoogleDocs見られたら、機密情報丸見えだ
し、写真もアップしてるから、プライベートが流出しそ
う。
• →怖いから使わないでおこう！

15. 極端な一例（Oauthがある場
合）
• とあるクラウドサービスで、googleカレンダー連携す
るけど、gmailのパスワードは必要無いらしい。
• googleで色々管理しているけど、あのサービスができ
る事といったら、カレンダー見たり、書き込みするくら
い。googleドキュメントとか、プライベートの写真と
か見られる心配なし。

16. 極端な一例（Oauthがある場
合）
• とあるクラウドサービスで、googleカレンダー連携す
るけど、gmailのパスワードは必要無いらしい。
• googleで色々管理しているけど、あのサービスができ
る事といったら、カレンダー見たり、書き込みするくら
い。googleドキュメントとか、プライベートの写真と
か見られる心配なし。
• →よっしゃ、いけてるからガンガン使おう！

17. WEBサービス（API）でパスワー
ドによる認証認可がいまいちな理由
• 信用の無いサイト場合、パスワードを渡したくない。
• パスワードを気軽に渡す文化が醸造されることによる、長期的
な悪い影響。
• パスワードを適切に保管するコストと責任が発生する。
• 認可の取り消しが困難→パスワード変更位しか取消手段が無い
• そもそもパスワードを持っていない可能性がある。

18. Oauth2.0のプロトコル概要

19. 今回は複数ある認可フローの中
から、「認可コード」の説明
• 「認可コード」（というフロー名）はサーバーサイド
WEBアプリに最適なタイプです。
• それ以外にも、「クライアントサイドwebアプリ」に最
適化されたもの、APIプロバイダ自身がアプリを作ると
きに最適化されたもの、アプリケーション自身の所有す
るリソース（例：Amazon S3にデータを保存する）
に最適化されたものがあります。

20. アクセストークン
• Oauthを使う時の目標は基本的に、
「Oauthアクセストークンを取得して、ユーザもしくは
アプリ自身のために、そのアクセストークンを使ってAPI
リクエストを実行する事」
です。
• アクセストークンを取得すれば、そこで認可されたリク
エストは実行できることになります。
• 今日は、アクセストークンを取得するあたりの話をします。

21. 開始
認可コード要求
ユーザ アプリ 認可サーバ エンドポイント
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
アクセストークン要求
アクセストークン返却
処理要求
処理返却

22. 開始
認可コード要求
ユーザ アプリ 認可サーバ エンドポイント
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
アクセストークン要求
アクセストークン返却
処理要求
処理返却
https://accounts.google.com/o/oauth2/auth
?client_id=XXX
&redirect_uri=http://fueltest.centos63.com/google/callback
&scope=https://www.googleapis.com/auth/calendar
&response_type=code
&approval_prompt=force
&access_type=offline

23. 開始
認可コード要求
ユーザ アプリ 認可サーバ エンドポイント
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
アクセストークン要求
アクセストークン返却
処理要求
処理返却

24. 開始
認可コード要求
ユーザ アプリ 認可サーバ エンドポイント
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
アクセストークン要求
アクセストークン返却
処理要求
処理返却
リダイレクトURIに、GETで認可コードが渡される。
https://example.com/callback?code=CCCCCCCC

25. 開始
認可コード要求
ユーザ アプリ 認可サーバ エンドポイント
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
アクセストークン要求
アクセストークン返却
処理要求
処理返却
認可コードとアクセストー
クンを交換する
https://
accounts.google.com/o/
oauth2/token
POST:
client_id=XXXXXX
client_secret=AAAAAA
code=CCCCCCCCC
grant_type=authorizatio
n_code
redirect_uri=http://∼

26. 開始
認可コード要求
ユーザ アプリ 認可サーバ エンドポイント
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
アクセストークン要求
アクセストークン返却
処理要求
処理返却
{
“access_token”:”xxxxxxxxxxx”,
“token_type” : “Bearer”,
“expire_in” : 3600,
“refresh_token”:”aaaaaaaaaaaaaa”
}

27. Oauth準備（google）編①

28. Oauth準備（google）編②

29. Oauth準備（google）編③

30. Oauthの認可を取消す

31. ここからは、認証の話…

32. 2. OpenID Connectの話

33. 2014/02/27
OpenID Connectの
API標準技術仕様が
ローンチされました！！！

36. OpenID Foundation
理事長：崎村さん曰く
• TCP/IP参照モデルで、業務アプリケーションとアプリ
ケーション層に「アイデンティティ層」を作るイメージ
• google、microsoft、salesforce、sisco、
VMware、Forgeockなど、様々な対応
※
↑ http://www.sakimura.org/2014/02/2277/

37. OpenIDで何ができるのか？

38. OpenID provider
（googleとかfacebookとかmixiと
か）
のIDを使って、サービスにログイン
することができます

40. 開始
認可コード要求
ユーザ アプリ 認可サーバ
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
IDトークン要求
IDトークン返却

41. 開始
認可コード要求
ユーザ アプリ 認可サーバ
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
IDトークン要求
IDトークン返却
https://accounts.google.com/o/oauth2/auth
?client_id=XXX
&redirect_uri=http://fueltest.centos63.com/google/callback
&scope=openid(+email)
&response_type=code
&approval_prompt=force
&access_type=online

42. 開始
認可コード要求
ユーザ アプリ 認可サーバ
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
IDトークン要求
IDトークン返却

43. 開始
認可コード要求
ユーザ アプリ 認可サーバ
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
IDトークン要求
IDトークン返却リダイレクトURIに、GETで認可コードが渡される。
https://example.com/callback?code=CCCCCCCC

44. 開始
認可コード要求
ユーザ アプリ 認可サーバ
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
IDトークン要求
IDトークン返却
認可コードとIDトークン
を交換する
https://
accounts.google.com/o/
oauth2/token
POST:
client_id=XXXXXX
client_secret=AAAAAA
code=CCCCCCCCC
grant_type=authorizatio
n_code
redirect_uri=http://∼

45. 開始
認可コード要求
ユーザ アプリ 認可サーバ
ログイン画面&認可画面
ログイン＆認可を許可
認可コード返却
IDトークン要求
IDトークン返却
{
"access_token" : “ya29.1.AADtN_VyFt[略]”,
"token_type" : "Bearer",
"expires_in" : 3600,
"id_token" : "eyJhbGciO[略]"
}

46. IDトークン
• JWT(JSON Web Token )というフォーマットで
帰ってきます。
• eyJhbGciOiJS[略].eyJpc3MiOiJ[略].C_3JU0K
si9[略]みたいなフォーマットです。
• $idTokenArray = explode(".", $idToken);
$idTokenBodyArray =
json_decode(base64_decode($idTokenArr
ay['1']),true);

47. IDトークンのデコード結果

48. IDトークンのデコード結果
この２つで
ユーザは
一意になる

49. 3. OpenID Connectの実装（動作を見せます）

50. OpenIDの実装例
（実際のコードを動かします）

51. 以上です。
ご清聴ありがとうございました。

52. 出典
• O'Reilly Japan OAuth 2.0をはじめよう
• OpenID Connect 101 @ OpenID TechNight
vol.11（http://sssslide.com/
www.slideshare.net/matake/technight11）
• google及び各種公式サイト