質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.59%

laravel passport API認証の仕組みについて

受付中

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 523

ixa

score 5

現在laravel5.5を利用してwebアプリケーションを作成しております。
そこで、api認証の実装が必要な状態となりまして、
laravelPassportについて3日間ほどwebの記事を漁っていたのですが、
いまいちわかりませんでした...。

もっとも基本的な実装は問題なく出来たのですが、今後使っていく事を考えると、
仕様について理解していないと厳しいかと思いまして。

上記にある基本的な実装というのは、
クライアントを作成->そのクライアントにアクセスしてアクセストークンを取得->取得したトークンを利用して認証のかかったapiにアクセス
の流れです。

まずそもそものoauth認証の流れについて確認したいのですが、
AとBというアプリがあって、AがBのAPIを使いたい場合を想定します。

1.Bは新たにA用にクライアントを作成し、そのクライアントにアクセスするための情報をAに渡す。
2.Aはその情報を使ってクライアントにアクセスしBのapiへのアクセストークンを要求する。
3.そこで取得したアクセストークンを利用して実際にBのapiにアクセスする。

という認識なのですが...
この流れはあってるんでしょうか??

passportの話に戻ります。
具体的にはここに権限を追加していきたいのです。
恐らくscopeと言われるものを使っていく事になるのかと思うのですが、
このscopeがいまいちしっくりきません。

クライアントにアクセストークンを要求する際にスコープを指定して、
「この権限を持ったアクセストークンが欲しい」
とするのはわかるのですが、これってスコープの意味まるで無くないですか?
結局[scope="*"]と指定されたらそれだけで全権限を貰えちゃうってことですよね?
この仕様だと、クライアントへのアクセス情報さえ持っていればすべてのapiにアクセス可能という事になっていしまうかと思うのですが...

本来このスコープ(アクセス権限)というのはクライアントに定義されているべき物ではないですか?
「そのクライアントにアクセストークンを要求したらこの権限を持ったアクセストークンが返ってくる」
という仕組みであれば理解できるのですが...

実際はどのような仕様になっているのでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

0

Note: このドキュメントは皆さんが、OAuth2に慣れていることを前提にしています。OAuth2について知らなければ、この先を続けて読む前に、一般的な用語とOAuth2の機能について予習してください。
https://readouble.com/laravel/6.x/ja/passport.html

PassportはOAuthサーバーなのでOAuthの知識が足りない人がいきなりOAuthサーバー作るのは難しい。
OAuthをクライアント側から使った経験があればサーバー側のこれはあれかとすぐ分かる。

どんなスコープがあるかを決めるのはサーバー側。
クライアントはどのスコープを使うか選ぶだけ。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.59%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る