質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.62%

認証とOAuth2の組み合わせについて

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 3
  • VIEW 5,024

argius

score 9414

最近のWebシステム(あるいは広義の「Webサービス」)はOAuth2が使われることが多くなってきましたが、
OAuth2が行うのはあくまでも「認可」であって、「認証」として使うのは危険であると書かれているのを(流し)読みました。

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone  
http://www.sakimura.org/2012/02/1487/

...

ここで質問なのですが、

OAuth2を使ったシステムでは、
認証の部分は昔ながらのユーザーテーブル管理(パスワードはハッシュするとか)のようにしているのでしょうか。

また、OAuth2を使わずにログイン(そのサービス固有のアカウントでパスワードログイン)する場合と、
OAuth2でログインする場合では、
「認証」の部分は同じなのでしょうか。

全部でなくても良いので、もしくは
参考URL貼っていただくだけとかでもかまいませんので、回答お待ちしております。

よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+2

なるべく誤解がないようにしたかったのですが、長文になりました…。
ご参考になれば、幸いです。


OAuth2を使ったシステムでは、 
認証の部分は昔ながらのユーザーテーブル管理(パスワードはハッシュするとか)のようにしているのでしょうか。

OAuth2やOpenID Connectの様な仕組みは、
「IDとパスワードを他に漏らさずに、サービスを提供したい」というような着想から出ています。
例えば、何かのゲームのプレイ内容をツイートしたいというような場合、
twitterのIDパスワードをそのゲームに管理させずにツイートさせる、
というイメージです。

先の例で、OAuth2を使用したとしますと、
「twitterは「○○ゲーム」より「ツイートの投稿」機能を要求されています。認可しますか?」
というような文面とともに、twitterのIDパスワードの入力フォームが出ると思います。
そして、この画面はtwitterの管理下にあるはずです。
何かのゲームの管理下の画面では無いはずです(IDとパスワードが他に漏れています)。

ですので、ご質問の

OAuth2を使ったシステムでは、 
認証の部分は昔ながらのユーザーテーブル管理(パスワードはハッシュするとか)のようにしているのでしょうか。

は具体的には、
「OAuth2の認可の過程で行われる認証の為のIDパスワードは、サービスの使用側ではどのように管理しますか?」
という内容でしたら、
「管理しません」という事になるでしょうか。


また、OAuth2を使わずにログイン(そのサービス固有のアカウントでパスワードログイン)する場合と、 
OAuth2でログインする場合では、 
「認証」の部分は同じなのでしょうか。

OAuth2は「認可」の為の仕組みで「認証」の為の仕組みではありません。
「認証」の場合は、OAuth2を拡張したOpenID Connectが良いと思います。

OAuth2は、先ほどの例えでは、
何かのゲームに、
twitterの機能(ツイートの投稿)を利用する事を
「認可」する為の仕組みです。

これが認証として使われてしまっているのは、
認可する際に認証が行われており、
その認証が行われたという結果だけ流用し、
別サービス(例えば何かのゲーム)の認証としてみた、
という発想からでしょうか。

しかしながら、そこで行われた認証は、
本来、例えば、twitterのツイート投稿機能を利用する事を認可する為「だけに」行われた認証であって、
何かのゲームの為の認証ではありません。

つまり、twitterの機能を利用できる事をもって、
何かのゲームにログインできるというのは、
おかしな話だ、という事です。

ですので、ご質問の返信としましては
まず、OAuth2でログイン処理を書くべきではないでしょう。

OAuth2ではなく、OpenID Connectで書かれる場合でしたら、

「認証」の部分は同じなのでしょうか。

そこそこ違うものになるはずです。

データ構造ですが、
パスワードは、こちらでは用いないでしょう。
IDは、OpenID Connectの認証で得られる情報(subject等)と紐付けておく必要があるかと思います。

画面も、
「[twitterでログイン]ボタンを押す」
→「twitter側に飛ばされて、IDパスワードのフォームでログイン」
→「戻ってくる」
という風になりますので、ログインフォームを用意する必要はありません。
しかし、戻ってきた際に認証結果を取得するための処理が追加で必要です。

以降のセッションの発行や管理は同じかと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/08 20:46

    すみません、返信されていることに気付かず、放置してしまいました。
    大変失礼いたしました。

    (言い訳になりますが、最近teratailからの通知が来ないことがあるもので...)


    OpenID Connect関連について深く掘り下げていただいてありがとうございます。


    大変恐縮なのですが、よろしければもう少しだけお付き合いください。


    > TwitterのIDを取得し、TwitterのIDを紐づかせている自前サービスのアカウントのユーザを「認証」

    の部分で、自前サービス側の実装が知りたかったのです。
    何でも良いんだと思いますが、一般的にどのように実装されているのかが知りたかったのです。

    例えば、

    データベースにユーザーマスターがあって、ユーザーのテーブルに自前サービスのIDとは別に
    TwitterのひもづけID列を持っていて、それとTwitterから取得したIDを照合する、
    そしてTwitterからIDが取得できていることをもってパスワードは入力不要となる

    のような処理で良いのでしょうか?

    キャンセル

  • 2016/06/09 09:15

    > TwitterのIDを取得し、TwitterのIDを紐づかせている自前サービスのアカウントのユーザを「認証」
    の自前サービス側は、仰るとおりどのようなものでも良いかと思います。

    私は、twitterIDをPKとして、自前IDの列を持つtwitterID専用のテーブルで対応しています。
    あとは、
    >それとTwitterから取得したIDを照合する、
    >そしてTwitterからIDが取得できていることをもってパスワードは入力不要となる
    仰るとおりの処理です。

    twitterIDから自前IDを作ったのでなければ、
    事前に、
    自前IDでログインし、その後twitterIDと連携し、
    twitterIDを取得保存するという連携の手順が必要になります。

    (自前側の実装が一般的かどうかと言われると、ちょっと自信ありません)
    (teratailの中の人のお話も聞いてみたいなぁと…)

    キャンセル

  • 2016/06/09 22:47

    ご返答ありがとうございます。

    > 自前IDの列を持つtwitterID専用のテーブル

    なるほど、サービス別にテーブルを持つというのもあるんですね。

    大変参考になりました。
    知りたかったところを知ることができました。


    途中の返信が遅くなってしまい、本当に申し訳ございませんでした。
    ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.62%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる