OIDC/OAuth関連

→認証技術

→SSO関連 ←SAML,Keycloakについてはこちら

一般†

• "ID領域" に踏み込みたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理 2024.4
• "ID領域" に踏み込みたいエンジニアにすすめたい学習ステップ(1) : 単一アプリケーションとID管理 2024.4

• OAuth、OAuth2、OpenID Connect(OIDC)について簡単にまとめてみた #OAuth - Qiita 2024.4

OpenID Connect†

• フルスクラッチして理解するOpenID Connect (4) stateとnonce編 - エムスリーテックブログ 2024.3
• フルスクラッチして理解するOpenID Connect (3) JWT編 - エムスリーテックブログ 2024.3
• フルスクラッチして理解するOpenID Connect (2) トークンエンドポイント編 - エムスリーテックブログ 2024.3
• フルスクラッチして理解するOpenID Connect (1) 認可エンドポイント編 - エムスリーテックブログ 2024.3

• OpenID Connect と OAuth 2.0 を知りたい - Alternative Architecture DOJO 2023.12

• GitHub ActionsとGoogle CloudのOIDCの仕組みを理解する 2023.11

• 仕様が読めるようになるOAuth2.0、OpenID Connect 入門 - Speaker Deck 2023.10
  • Auth屋さんと学ぶ 仕様が読めるようになる OAuthとOpenID Connect 入門 - YouTube

• OpenIDとOpenID Connectは別物なので注意、略す場合はOIDCと略すのが一般的

• OIDCトークンによるAWSの一時的な認証情報の取得方法 | 豆蔵デベロッパーサイト 2023.2
  • AWS STS(AWS Security Token Service)

• 認証と認可の超サマリ　OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本 2021.1

• OAuth & OpenID Connect 関連仕様まとめ - Qiita 2016

• OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る - Qiita 2016
  • 【第二弾】OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る - Qiita 2017

• OIDCでSAMLのIdP-initiatedなんとかみたいなことをやりたいみなさん 2022.12

• OAuth 2.0 / OIDC を理解する上で重要な3つの技術仕様 - ログミーTech 2020
  • JWS、JWE、JWT

• OpenID Connectのフローや、JWKやPKCEについて解説 - ログミーTech 2020

• IDトークンが分かれば OpenID Connect が分かる - Qiita 2016
  • JWS (RFC 7515)、JWE (RFC 7516)、JWK (RFC 7517)、JWT (RFC 7519)、ID トークンの説明

• なぜOpenID Connectが必要となったのか、その歴史的背景 2013

• 認証規格まとめ 2021年版 - OpenID Connect & FIDO と OAuth 2.0 や SAML との違い - RAKUS Developers Blog | ラクス エンジニアブログ 2021.9
  • 
  • OpenID Connect は SAML の流れも組んでいますが、SAML はその生い立ちから社内ネットワーク1での利用を想定しています。そのため SAML での認証処理はユーザーの同意を必要とせずに処理することができます。認証処理は信頼されているサービスで行われるという前提です。
  • SAMLはXMLベース、OIDCはJSONベースという実装上の違い
  • FIDO 2.0ではサーバーとクライアントの間でクレデンシャル情報を直接通信することがないことです。FIDO 2.0ではクライアントサイドで認証処理を行なった結果のみをサーバーに送信します。これにより通信経路からのクレデンシャル情報の流出を避けることができます。

• CircleCIがOIDCをサポートしたのでAWSと連携させてみた | DevelopersIO 2022.3

OpenID†

• OpenIDとは「異なるWebサービス間でユーザーの認証情報を受け渡す方法」を定義したプロトコル

• OpenIDが果たす役割を知る 2012.9.20
• OpenID／SAMLのつなぎ方とその課題 2010.1.22
• OpenIDの襲来に備えよ！
• mixi OpenID
  • mixi OpenIDの技術面を解説するでござるの巻 2008.8.21

OAuth†

• OAuthは認可の仕様であって認証の仕様ではない
• OAuth 2.0ではIDトークンは規定されていないので「誰についての認可コードなのか」はわからない（OAuth 2.0の外で認証は行う前提）

• 図解+手を動かして理解する！OAuthの仕組み #OAuth - Qiita 2023.11

• [前編] AWS CDKで API Gateway + Lambda 構成のREST APIを構築して Auth0 + Lambda Authorizerの認可機能を導入してみた | DevelopersIO 2023.3
  • [後編] AWS CDKで API Gateway + Lambda 構成のREST APIを構築して Auth0 + Lambda Authorizerの認可機能を導入してみた | DevelopersIO 2023.3

• KotlinとSpring Security 6.xを使って、Introspection Endpointでトークンを検証するOAuth2のリソースサーバ−を実装する | DevelopersIO 2023.3

• OAuth2.0認証クライアントを自前実装で導入してみる【SolidStart+OAuth2.0+Box】 - RAKUS Developers Blog | ラクス エンジニアブログ 2023.2

• Python でシンプルに OAuth 2 する (urllib + oauthlib) - Qiita 2020

• 最近話題の API の認証ってなに? ~OAuth編~ 2021.9
  • 2点の問題「セキュリティ問題」と「ユーザー制約問題」を解決
  • セキュリティ問題：アプリケーションから別サイトのリソースへアクセスしたい場合、別サイトの認証情報をアプリケーション側へ共有する必要があった
  • ユーザ制約問題：各アプリケーションからの要求に対して異なるアクセス制限を適用する事ができなかった
  • OAuthによってこれらの問題が解決した

• OAuthで登場する概念の説明(ロール、トークン、エンドポイント) | bbh 2020.11
  • ロール　…　OAuthにおける役割。リソースオーナー、クライアント、リソースサーバー、認可サーバーなど
  • リソースオーナー　…　リソース(画像)の所有者であり、サードパーティ製のアプリの使用者
  • クライアント　…　サード―パーティ製アプリ。サーバーサイド、ネイティブアプリかは問わない。
  • リソースサーバー　…　リソースを提供するサーバー。この例だとGoogleDriveのデータがあるサーバー。
  • 認可サーバー　…　クライアントの認可を行うサーバー。リソースサーバーと同じ組織が運営。(この例だとGoogle)
  • トークン　…　認可されたことを証明するもの

• 【供養】OAuth をステートレスに出来るかも！と思ったけど、出来なくない？ - Qiita 2022.7

• Firebase Auth の力を 120% 引き出すためのハック集 2022.4

• GitHub の OAuth 実装の仕様違反とセキュリティ上の考慮事項 - Qiita 2022.4

• 「Googleでログイン」「Facebookでログイン」などのOAuth認証を模倣してパスワードを盗み出す手口が考案される - GIGAZINE 2022.3
  • mr.d0x氏はこの手口を「Browser In The Browser(BITB)攻撃」と名付け、「わずかな違いに気付く人はほとんどおらず、基本的に本物と区別できなくなります」と述べています。

• OAuth 2.0 クライアント認証 - Qiita 2019

• 「OAuth」の基本動作を知る 2012.8.

  ひと言でいうとOAuthは、
  あるサービス（サービスA）上にエンドユーザーが所有するリソースや、そのエンドユーザーがアクセス権限を持つサービスAの各種機能に対し、
  エンドユーザーの許可を受けたほかのサービス（サービスB）がアクセスするために
  エンドユーザーがサービスBに対して許可を与え
  サービスBがサービスAの提供するAPIにアクセスする際に許可を受けていることを証明する
  という一連のフローを、セキュアに実現することを目的とした「アクセス権限の付与」のためのプロトコルです。

• WebアプリにSNSアカウントでのログインを実装する 2012.6.2
  • OAuthによる認証

• 一番分かりやすい OAuth の説明 - Qiita 2017

• OAuthについて
  • OAuth は，第三者に対して，認証を要求するリソースへのアクセスを一時的に許可するためのプロトコルです．

• OAuth 2.0 — OAuth

OAuth認可フロー(OIDCでも共用）†

• RFC6749 に記載された４つの認可フロー
  • 1. 認可コードフロー
  • 2. インプリシットフロー（※通常使うべきではない）
  • 3. リソースオーナー・パスワード・クレデンシャルズフロー（※通常使うべきではない）
  • 4. クライアント・クレデンシャルズフロー(ユーザーが絡まないフロー。クライアントに対してアクセストークンを発行する)

• 5. リフレッシュトークンフロー（※期限が切れたトークンを更新するためのフロー）

• OAuth 2.0のフローの種類と2つのエンドポイントについて解説 - ログミーTech 2020
  • 認可サーバーは基本的に2つのエンドポイントを提供します。その2つは、認可エンドポイントとトークンエンドポイント

• OAuth 2.0 全フローの図解と動画 2017.4.28

リソースオーナー・パスワード・クレデンシャルズフロー†

• Password Grant - OAuth 2.0 Simplified 2022.11
• How can I use the grant_type=password oauth flow with salesforce.com? - Stack Overflow 2012
• Call Your API Using Resource Owner Password Flow 2022.12

Amazon Cognito†

→AWS IAM関連

• StreamlitとCognitoを使ってログイン機能を実装してみた - REVISIO Tech Blog 2023.9

• Amazon Cognitoを、CloudFormationで作って簡単に使ってみる - サーバーワークスエンジニアブログ 2023.8

• Keycloakの知識を背景に、AWS Cognitoを調査してみて感じたこと - Linkode.TechBlog 2023.8

• CognitoのHostedUIがダサいのでChatGPTにCSSを作ってもらう - Qiita 2023.6

• Amazon Cognitoについてまとめてみた - Qiita 2023.2

• Why we decided to use Auth0 and not AWS Cognito | by Ryoichi Sekiguchi | Oct, 2022 | Shippio 2022.12

• AWS Cognitoのエンドポイントを使いこなす - Qiita 2018
  • OpenID Connectでは、以下の4つのアクセス権限付与フローが定義されています。
    • Authorization Code Grant
    • Implicit Grant
    • Resource Owner Password Credentials Grant
    • Client Credentials Grant
  • これってOAuthの認証フローと被る？→OIDC はOAuth も統合した仕様であるため。

• Cognitoのサインイン時に取得できる、IDトークン・アクセストークン・更新トークンを理解する | DevelopersIO 2018
  • 各トークンの主な用途
    • IDトークン：連携サービスの認証（例：API Gateway）と認証されたユーザー情報の参照
    • アクセストークン：Cognitoユーザープールのユーザー属性更新
    • 更新トークン：新しいIDトークン、アクセストークンの取得

• AWS Cognitoを導入し、認証画面を作成してみた！ - Qiita

• AWS再入門ブログリレー2022 Amazon Cognito編 | DevelopersIO 2022.3
  • Amazon Cognitoとは、ウェブアプリケーションやモバイルアプリケーションに「認証(Authentication)」、「認可(Authorization)」、「ユーザー管理」を簡単に実装することが可能なサービスです。

JWT(JSON Web Token)†

• Java で Azure App Service の Azure AD 認証の JWT からユーザー情報を取得してみた - Qiita 2023.1
• Auth0 java-jwtを使った素のJWT認証 | 豆蔵デベロッパーサイト 2022.12
• 基本から理解するJWTとJWT認証の仕組み | 豆蔵デベロッパーサイト 2022.12

• マイクロサービスの認証・認可とJWT / Authentication and Authorization in Microservices and JWT - Speaker Deck 2021

• 【JWT】 入門 2021.3

参考資料†

• APIにリクエストを投げたい(VSCode REST Clientの紹介) - Qiita 2022

最新の50件