フリー検定

本サイトは広告により収益を得ています

OAuth 2.0やOpenID Connectなどの認証プロトコル詳解

OAuth 2.0やOpenID Connectなどの認証プロトコル詳解

2025年11月10日
フリー検定
広告

目次

現在: 6 / 12
  1. 1. マイクロサービスとモノリシックの比較と設計原則
  2. 2. 分散システムとトランザクション管理(CAP定理、Sagaパターン)
  3. 3. メッセージキュー/ストリーム処理の利用(Kafka, RabbitMQなど)
  4. 4. NoSQLデータベースの特性とユースケース(MongoDB, DynamoDBなど)
  5. 5. データベースのチューニングとパフォーマンス最適化
  6. 6. OAuth 2.0やOpenID Connectなどの認証プロトコル詳解 閲覧中
  7. 7. 暗号化技術と鍵管理(PKI、TLS/SSLの詳細)
  8. 8. 負荷分散とオートスケーリングの詳細な設計
  9. 9. 障害対策とディザスタリカバリ(DR)計画
  10. 10. ドメイン駆動設計(DDD)の原則と実践
  11. 11. パフォーマンスチューニングとプロファイリング技術
  12. 12. 技術選定と評価方法、最新技術動向のキャッチアップ
ITエンジニア バックエンドエンジニア AYCFバックエンドエンジニア-エキスパート

バックエンドエンジニアに関する検定はこちら

面倒な会員登録も不要!すぐに受験!

無料で受験する

大規模なWebエコシステムにおいて、ユーザーがサービスを利用する際、パスワードを共有せずに安全にアクセス権限を付与する仕組みは不可欠です。OAuth 2.0OpenID Connect (OIDC) は、この役割を担う現代のデファクトスタンダードなプロトコルです。

エキスパートエンジニアは、これらのプロトコルの仕組み、役割、セキュリティ上の留意点を深く理解し、適切な認証・認可基盤を設計する必要があります。

1. OAuth 2.0(認可フレームワーク)の詳解

OAuth 2.0は、**認可(Authorization)を行うためのフレームワークであり、「ユーザーの代わりに、リソースへのアクセス権限を第三者のアプリケーションに付与する」**ことを目的としています。ユーザーの認証(ログイン)機能そのものを代替するものではありません。

A. 登場人物(ロール)

OAuth 2.0には、主に以下の4つの役割が登場します。

  1. リソースオーナー (Resource Owner): アクセスされるリソース(例: ユーザーのプロフィール、投稿データ)を所有するユーザー本人。

  2. クライアント (Client): アクセスを要求するアプリケーション(例: モバイルアプリ、サードパーティのWebサイト)。

  3. 認可サーバー (Authorization Server): リソースオーナーを認証し、アクセストークンを発行するサーバー(例: Google, Twitter)。

  4. リソースサーバー (Resource Server): クライアントがアクセスしたいリソースをホストしているサーバー(例: Google PhotosのAPI)。

B. 認可の流れとトークンの役割

  1. 認可コード要求: クライアントは、ユーザー(リソースオーナー)を認可サーバーにリダイレクトし、アクセス権限の承認を求めます。

  2. 認可コード付与: ユーザーが権限を承認すると、認可サーバーはクライアントに認可コード (Authorization Code) を返します。

  3. トークン交換: クライアントは、受け取った認可コードとクライアントシークレット(秘密鍵)を認可サーバーに渡し、引き換えにアクセストークン (Access Token) を取得します。

    • 重要: このトークン交換は、ブラウザを介さず、**サーバー間(バックチャネル)**で直接行われます。

  4. リソースアクセス: クライアントは、取得したアクセストークンを添えて(通常はHTTPヘッダーのAuthorization: Bearer <トークン>)、リソースサーバーにアクセスを要求します。

  5. 認可: リソースサーバーはアクセストークンを検証し、トークンに付与されている**スコープ(権限範囲)**に基づいてアクセスを許可します。

2. OpenID Connect (OIDC) の詳解

OpenID Connect (OIDC)は、OAuth 2.0フレームワークの上に構築された認証レイヤーであり、**認証(Authentication)**とID情報提供を目的としています。OAuth 2.0単体では認証ができませんでしたが、OIDCはそれを可能にします。

A. OIDCの目的

  • ユーザーが誰であるかを検証し、その情報を安全にクライアントアプリケーションに提供すること。

  • IDトークン (ID Token) という新しいトークンを導入します。

B. 主要な要素:IDトークン

OIDCの核となるのがIDトークンです。

  • 形式: JWT(JSON Web Token)形式です。

  • 内容: ユーザーの認証情報(誰が、いつ、どこで認証されたか)と、基本的なプロフィール情報(ユーザーID、名前、メールアドレスなど)が含まれます。

  • 役割: クライアントはIDトークンを検証することで、認可サーバーがユーザーを正常に認証したことを安全に確認できます。これは、主にクライアントアプリケーション側(Webフロントエンドやモバイル)でユーザーのログイン状態を確立するために利用されます。

C. OIDCの認可フロー

OIDCは、OAuth 2.0の認可コードフローをベースに、IDトークンの発行を追加します。

  1. OAuth 2.0と同様に認可サーバーにリダイレクトし、scope=openidを含めます。

  2. トークン交換の際、認可サーバーはアクセストークンに加えてIDトークンも発行します。

  3. クライアントはIDトークンを検証し、ユーザーがログイン済みであることを確認します。

  4. 必要に応じて、クライアントはアクセストークンを使ってUserInfoエンドポイントにアクセスし、より詳細なユーザー情報を取得します。

3. エキスパートとしての設計上の考慮事項

OAuth 2.0とOIDCを扱うエキスパートエンジニアは、以下のセキュリティと運用の側面に注意を払う必要があります。

A. トークンの適切な利用と管理

  • アクセストークン: リソースへのアクセスにのみ使用され、機密データを含めるべきではありません。有効期限は短く設定し、リフレッシュトークンを用いてアクセスを継続的に行う仕組みを設計します。

  • リフレッシュトークン: アクセストークンを再発行するために使用されます。非常に機密性が高いため、認可サーバーに安全に保管され、クライアント側では**HttpOnly Cookie**や安全なストレージに格納すべきです。

  • IDトークン: 認証情報の伝達にのみ使用され、リソースへのアクセスには使用しません。

B. 認可コード横取り対策 (PKCE)

  • PKCE (Proof Key for Code Exchange) は、主にパブリッククライアント(モバイルアプリやSPAなど、クライアントシークレットを安全に保管できないクライアント)において、認可コードが不正に横取りされ、悪用されるのを防ぐための拡張機能です。

  • クライアントがランダムな秘密(Code Verifier)を生成し、そのハッシュ値(Code Challenge)を認可リクエストに含めます。トークン交換時に秘密を再度提供することを要求することで、横取りした攻撃者によるトークン取得を防ぎます。現代ではパブリッククライアントでPKCEの利用が必須とされています。

C. スコープの最小権限の原則

  • クライアントが要求するアクセス権限(スコープ)は、その機能に必要な最小限の範囲に設定します。

  • ユーザーが要求されたスコープを理解し、不要な権限の付与を避けることで、セキュリティリスクを最小限に抑えます。

バックエンドエンジニアに関する検定はこちら

面倒な会員登録も不要!すぐに受験!

無料で受験する
前の記事 データベースのチューニングとパフォーマンス最適化 次の記事 暗号化技術と鍵管理(PKI、TLS/SSLの詳細)
広告

検定一覧はこちらから

様々なジャンルの検定から選んで、あなたの知識を試してみましょう。

検定一覧を見る

関連記事

広告