1月 2020年

Google OpenID Connect の 実装方法

今回は「Googleを例にOpenID Connectの実処理フロー」についてまとめます。 今回も、OpenID Connect すべてをカバーするのではなく、一番サポート率が高く使われるであろうユースケース「BasicOP(response_type: code)」についてのみを対象にまとめます。 目次 概要 事前準備(OpenID提供側サーバー設定) OAuth同意画面設定 認証情報設定 クライアント実装(OpenID利用側処理フロー) 概要 シーケンス図 詳細 ...

OpenID Connect の 概要

今回は「OpenID Connect」についてまとめます。 ただ、OpenID Connect 自体は広範囲にわたるユースケースをカバーしている難解な仕様です。 すべて取り上げると無駄が多い感じがしたので、一番サポート率が高く使われるであろうユースケース「BasicOP」についてまとめていきます。 目次 何ができるのか どうやって実現するのか(OpenID Connect 全体像) OAuth 2.0 と OpenID Connect 1.0 の違い 何ができるのか OpenID Connect は「あるサービスで利用している ID や メールアドレス などの情報を自分のサイトでも利用できるようにするエコな仕組み」です。 すでに OpenID Connect を組み込んだサイトは ...

JSON Web Token (JWT) の 仕様 と 使い方

今回は「JSON Web Token」についてまとめます。 目次 概要 仕様 構造 ヘッダー ペイロード 署名 使い方 注意点 概要 JSON Web Token は略して JWT (ジョット) と呼びます。 「セッション情報をサーバーサイドで保存せずクライアントサイドで保持できる(ステートレスが実現できる)」点が特徴です。 WebAPIとか作るときは便利な仕様です。 JWTの仕様(= トークンの仕様)自体はシンプルですし、使い方も簡単です。 ただ…使い方を間違えると脆弱性ができてしまうので、使い方には要注意です。 仕様 ...