OpenID Connectはそんなに大変かね？ - OAuth.jp

OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る – Qiita ってのになんかフォローアップしろよ的なのが来たので。 ざっと読んだ感想としては、「OpenID Connect の OPTIONAL な機能全部実装したら、そら大変ですね」という感じ。（Authlete に関しては、OpenAM みたいな感じで使われる、OpenAM よりはるかに簡単に使える代わりに有料の何かなんだろうな、というイメージです） OAuth は必要なのか？ Basic 認証は死んだ。 ユーザー単位での API のアクセスコントロールがしたいです。 っていう前提で話すると、OAuth 以外まともな選択肢が無いんじゃないでしょうか。 OAuth の各種 Extension (RFC 6749 & 6750 以外にいろいろある) に関しては、適宜必要なのを実装すればいいんだけど

[tinsep19]

関連仕様全部読んで必要なのだけピックアップする仕様理解力か、Core だけ読んで他全部無視するスルー力のどちらかが必要になる。> ぶっちゃけてるなぁ。

[rryu]

結局大変なようにしか読み取れないが……

[sin20xx]

興味深いのは"Basic 認証は死んだ。"という前提がそもそも成立しないのでは？という事ではあるが、それは元のさらに引用先の言及だからしょうがない。そもそもでいえばBasic認証を置き換える意味がそもそもないのだが

[h3poteto]

すごいわかる

[vvakame]

いい話だ(わりとわかる

[bigwest]

[OAuth][OpenID]

[northlight]

より問題を複雑化した印象

[takc923]

OAuth, OpenID Connectの全体像を把握している人がユースケースによって必要な部分だけ実装するのは楽なんだろうけど、全体像を把握するのが大変、という印象を受けた。

[vanbraam]

BASIC認証は死んでないと思う(特にTLSによる暗号化必須になりつつある昨今).なぜDigest認証使わないの?とは思うが;後半は非常に参考になった.Nativeアプリは今でも相変わらず難しいのか

[kgrock]

OpenID Connectはそんなに大変かね？

[sett-4]

OpenID Connectはそんなに大変かね？