あるSEのつぶやき・改

ITやシステム開発などの技術に関する話題を、取り上げたりしています。

技術書典で出会ったOAuth本がすばらしかった件 #技術書典

10000人以上の技術者が熱狂した?技術書典6が終わってから、早2週間が経ちました。

時間が経つのは早いですね。

技術書典6の感想については、以下の記事をご参照ください。

www.aruse.net

さて、戦利品が早速積読状態になっていますが💦、読んだ技術書の感想をぼちぼちと書いていこうと思います。

今回の技術書典でトップレベルの収穫だったのが OAuth 本です。

OAuth 本は、BOOTH で PDF 版を販売中です。1000円です(64ページ)。

booth.pm

OAuth を雰囲気でしか理解していなかった自分にとっては、正に福音とも言える技術書でした。

ちょうど、形にならない個人プロジェクトで💦、OAuth で認証をしようとしていたので正に自分のための本w

さて、今、OAuth 「認証」とさくっと書きましたが、これは根本的な間違いです。

OAuth は「認可」のための仕組みで、「認証」で使うものではないのですよね。

なんのこと?という方は、OAuth を使うと危険が危ないです。

ざっくり言えば、「認証」とは本人にしか分からない情報・物を元にユーザーを識別することで、「認可」とは「認証」したユーザーに適切な権限を付与することになります。

この2つは全く別物なので、混同しないようにしなければなりません。

それで本の内容に戻ると、この本は OAuth の基本から丁寧に解説されています。

若干、リファレンスチックな記述ですが、OAuth の信頼できる正確な日本語情報はあまり見かけないので大変貴重な本になります。

リファレンスチックと書きましたが、この本の目的としているのが、OAuth のリファレンスを自力で読めるようにするところにあるので、非常に目的に合致していて好感が持てますね。

この本を読むと、OAuth のどのフローを自分が使用すればよいのかが分かります。ネットの情報だと、使ってはいけないケースで危ないフローを使っていたりするので注意が必要です。

また、この本で、OAuth 「認証」は脆弱性があるので使わないことが分かります。「認証」を行いたければ、「OpenID Connect」を使用すべきとのことです。

いろいろ勉強になりました。

これで基本が押さえられたので、以下の本を購入する意欲が湧いてきました。

OAuth徹底入門 セキュアな認可システムを適用するための原則と実践

OAuth徹底入門 セキュアな認可システムを適用するための原則と実践

  • 作者: Justin Richer,Antonio Sanso,Inc. Authlete,須田智之
  • 出版社/メーカー: 翔泳社
  • 発売日: 2019/01/30
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログを見る

ちょっとお高いのでためらっていたのですが、今なら読みこなせそうな気がします。

OAuth 本はいいぞ!