OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut

[ritou]

今年もアドカレやっていきましょう。初日なのでみんな知ってるネタから緩くいきましょう。

[t2wave]

OAuth が認証ではなくて認可になる詳細な理由。誰であるかという情報が規格にないから。

[amemiyashiro]

記事中に登場するbotのような物言いをする人はこの業界多いけれど、「ものには言い方ってものが」と思ってしまうの。（内容とはあまり関係ない）

[deep_one]

「OpenID」を使えってことだな。

[lenore]

はて？と思ってる方は、https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe を見よう。本当に分かりやすいし、最後にOAuthとの違いも書いてある。OAuthから怪しい方は同じ方の書いたやっぱり超初心者向け説明がある。詳細は後。

[tk_musik]

OIDCはOAuth2.0を前提としてるものだよね。スーパーセットと言える認識。だから全然違うものみたいな論調は違うと思うな。

[zakusun]

OIDCとOAuth認証は別です。と言うことからして理解していない人が少なからずいる。未だに。だからいつまでもこの様な記事が必要になる。

[lyiase]

ここではOAuthの説明にもユーザーを使ってるけど、厳密に言うとOAuthは「匿名に対して認可を与えても構わない」仕様になっていて、要するに「利用権貸せ」「はいよ」を安全にHTTPでやるためだけの規格なんだよね。

[junjun777]

ブクマ数に対して、コメントが少ないのは、わかりにくい・けど重要そう、と思われる記事にある傾向に思う。まずは結論を書くべきかな？「identifyじゃなく、期間のみ限定のデバイス等を問わない操作権限譲渡だから」

[ultimatebreak]

お、オーッス

[takatama]

OIDC OAuth

[Kouchannel55]

stateがないから安全か / なんで安全になるんか理解できてない、同一クライアント他ユーザーの認可コードをクライアントに投げれば結局悪用される気がするけど “この流れを安全に実装することは、可能です。”

[zima0314]

[OIDC]

[juve534]

「OAuthは認証じゃなくて認可」という話から一歩進んでいるのが好印象。目が滑って読めてない部分があるので何度か復習したい。

[murashit]

これ毎回「あーなるほどね」ってなって忘れてる気がする

[omron]

OIDCとOAuth認証は別です。OAuth は認可のフレームワーク。

[cachico]

OAuth認証とは何か?なぜダメなのか - 2020冬

[takuya_1st]

oauthはbotにパスワードを保存させないための仕組みであるし、そのbotを信用出来ないと言い出して排除しようとしたら、認可では認証通ってないとしか言いようがなくなる。なら提供側がid保証api作るってだけ

[onesplat]

id:xlc 全然違う。長いとか文句垂れる暇あるなら100回読み直せ

[yuno001]

認証と認可の違いから説明して欲しい。

[t-tanaka]

まだわからん。「この人に私のID渡していいよ」と認可することと，「この人のIDはこれですよ」と認証してもらうのは，何が違うのだろうか？

[degucho]

セブンペイはこの辺なのかなあ

[cubed-l]

「(OAuth2.0は)"同一クライアントを利用する別のユーザーに対して発行されたアクセストークン" を検知することは困難」なのでそれを補ったOIDCを使ってね、という話/認証と認可は役割が異なるので混同してはいけない

[takamii228]

SPAやモバイルアプリが認証したいケースで、フロント向けAPI、認証認可サーバー、リソースサーバーと多層になると？ってなるイメージ。

[zyzy]

勉強しても定期的に忘れるんだよなぁ、コレ

[iinalabkojocho]

“OAuth認証とは何か?なぜダメなのか - 2020冬” コレ読んでもピントも来ない子は。 Auth0使おう。 え？FiDOわからんの？？？？泣く！

[gonta616]

パッと答えられないやーつ。。。

[hdampty7]

大雑把に言うとOAtuthがクライアントもwebしか想定してない。んでクライアントによってはID連携しようとすると拡張が必要になるのでそれを規格化したOIDC2を使えって話。

[kno]

openID connect

[wata88]

OIDCとSAMLを並べて語るのも危ないんだよなぁ

[metatrading]

OpenIDとOpenID Connectは全く違うものなので注意してください。この記事も必要な説明は書いてあるけど、分かってる人じゃないと読めない気がしますな。

[sugarball]

なるほど、完全に理解した(してない

[ducktoon]

認証じゃなくて認可って言えばいいのか？ よくわからんよ

[gusyazero]

なるほど。僕的には脳内が再整理されたので助かりましたー。

[uraway]

これ２つ目はモバイルやSPAがコンシューマーキーとシークレットを持ってるってこと？そんなことある？

[denqueue]

認可サーバが(認証を経て)アクセストークンを払い出す仕組みと、それを用いたリソースへのアクセス認可を規定するのがOAuth。トークンが正しい送信者から送られたかの認証には別のフレームワーク(OIDC)が必要と。