Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CLIでOAuth/OIDCを快適に利用する

Avatar for Hidetake Iwata Hidetake Iwata
July 09, 2018
Technology
0
970

 CLIでOAuth/OIDCを快適に利用する

Gopher Dojo #2
2018.07.09

Avatar for Hidetake Iwata

Hidetake Iwata

July 09, 2018
Tweet

More Decks by Hidetake Iwata

See All by Hidetake Iwata
Rewrite Go error handling using AST transformation
Avatar for Hidetake Iwata int128
1
1.4k
Cluster AutoscalerをTerraformとHelmfileでデプロイしてPrometheusでモニタリングする / Deploy the Cluster Autoscaler with Terraform and Helmfile, Monitor with Prometheus
Avatar for Hidetake Iwata int128
3
1.8k
認証の仕組みとclient-go credential plugin / authentication and client-go credential plugin
Avatar for Hidetake Iwata int128
7
7.8k
AppEngine × Spring Boot × Kotlin
Avatar for Hidetake Iwata int128
0
150
いつものJIRA設定
Avatar for Hidetake Iwata int128
1
220
Swaggerのテンプレートを魔改造した話 / Customize Swagger Templates
Avatar for Hidetake Iwata int128
1
4.9k
本番環境のリリースを自動化した話
Avatar for Hidetake Iwata int128
0
830
Swagger × Spring Cloud
Avatar for Hidetake Iwata int128
0
120
The Evolution of System Architecture
Avatar for Hidetake Iwata int128
0
210

Other Decks in Technology

See All in Technology
ClickHouseはどのように大規模データを活用したAIエージェントを全社展開しているのか
Avatar for Miki Matsumoto mikimatsumoto
0
270
Amazon Bedrock Knowledge Basesチャンキング解説!
Avatar for 野口碧生 aoinoguchi
0
160
CDK対応したAWS DevOps Agentを試そう_20260201
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
1
420
AIが実装する時代、人間は仕様と検証を設計する
Avatar for Gota gotalab555
1
380
AIエージェントを開発しよう!-AgentCore活用の勘所-
Avatar for YukiOgawa yukiogawa
0
190
SREのプラクティスを用いた3領域同時 マネジメントへの挑戦 〜SRE・情シス・セキュリティを統合した チーム運営術〜
Avatar for coconala_engineer coconala_engineer
2
770
AI駆動開発を事業のコアに置く
Avatar for 鬼澤輔 tasukuonizawa
1
370
予期せぬコストの急増を障害のように扱う――「コスト版ポストモーテム」の導入とその後の改善
Avatar for Masahiro Yoshizawa muziyoshiz
1
2.1k
CDKで始めるTypeScript開発のススメ
Avatar for つくぼし tsukuboshi
1
550
Oracle Base Database Service 技術詳細
Avatar for oracle4engineer oracle4engineer
PRO
15
93k
Cloud Runでコロプラが挑む 生成AI×ゲーム『神魔狩りのツクヨミ』の裏側
Avatar for COLOPL Inc. colopl
0
140
旅先で iPad + Neovim で iOS 開発・執筆した話
Avatar for ZOZO Developers zozotech
PRO
0
100

Featured

See All Featured
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
200
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
110
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
Prompt Engineering for Job Search
Avatar for Mfonobong Umondia mfonobong
0
160
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
70
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
0
1.1k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
67
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
350
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
1
190
KATA
Avatar for Megan Lloyd mclloyd
PRO
34
15k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
450

Transcript

  1. CLIでOAuth/OIDCを 快適に利用する Hidetake Iwata (@int128)

  2. TL;DR CLI(コマンドラインツール)でOAuthやOpenID Connectを利用する場合、 ユーザは複雑なオペレーションが必要になる 一時的にHTTPサーバを立ち上げて認可コードを受け取ることで、 ユーザのオペレーションを軽減できる

  3. Hidetake Iwata https://github.com/int128 Software Engineer at Tokyo ❤ DevOps, Agile,

    CI/CD, Kubernetes, App Engine, Golang, Gradle, Groovy

  4. CLIでOAuthやOpenID Connectを利用する場合、ユーザは複雑なオペレーションが必 要になる 1. ターミナルでコマンドを実行する 2. ターミナルに表示されたURLをブラウザで開く 3. Googleアカウントでログインする 4.

    ブラウザに表示された認可コードをコピーする 5. ターミナルに認可コードをペーストする 6. コマンドの実行結果を見る OAuth/OIDC CLIの課題 https://developers.google.com/identity/protocols/OAuth2#installed

  5. OAuth/OIDC CLIの例 $ ./upload_google_drive Open https://accounts.google.com/… Enter code: XXXXXXXXXXX... OK.

    You are logged in as int128. ① ② ③ ④ ⑤ ⑥

  6. Package golang.org/x/oauth2 config := &oauth2.Config{ ClientID: clientID, ClientSecret: clientSecret, Endpoint:

    google.Endpoint, RedirectURL: "urn:ietf:wg:oauth:2.0:oob", } authCodeURL := config.AuthCodeURL(state) fmt.Printf("Open %s\nEnter code: ", authCodeURL) var code string _, err := fmt.Scanln(&code) token, err := config.Exchange(ctx, code) ② ⑤

  7. OAuth/OIDC CLIのUX改善 ユーザのオペレーションを以下のように軽減したい 1. ターミナルでコマンドを実行する 2. ターミナルに表示されたURLをブラウザで開く 3. Googleアカウントでログインする 4.

    ブラウザに表示された認可コードをコピーする 5. ターミナルに認可コードをペーストする 6. コマンドの実行結果を見る

  8. OAuth/OIDC CLIのUX改善 ユーザのオペレーションを以下のように軽減したい 1. ターミナルでコマンドを実行する 2. (外部コマンドで自動的にブラウザを開く) 3. Googleアカウントでログインする 4.

    (ローカルHTTPサーバにリダイレクトされる) 5. (ローカルHTTPサーバが認可コードを受け取る) 6. コマンドの実行結果を見る

  9. ブラウザベースの認可コードフロー [1] https://developers.google.com/identity/protocols/OAuth2#webserver 一般的なWebアプリケーションと同様にリダイレクト で認可コードを受け取る 1. HTTPサーバを実行する 2. ブラウザで認可要求URLを開く 3.

    http://localhost へのリダイレクトで認可コード を受け取る 4. HTTPサーバを終了する 5. 認可コードとトークンを交換する

  10. codeCh := make(chan string) errCh := make(chan error) server :=

    http.Server{":8080", &AuthCodeGrantHandler{ Callback: func(code string, err error) { switch { case err != nil: errCh <- err default: codeCh <- code } } }} go func() { if err := server.ListenAndServe(); err != nil && err != http.ErrServerClosed { errCh <- err } }() select { case err := <-errCh: server.Shutdown(ctx) return "", err case code := <-codeCh: server.Shutdown(ctx) return code, nil } HTTPサーバが認可コードを受け取っ たらチャネルに送信 ゴルーチンでHTTPサーバを実行 認可コードを受け取ったらHTTPサー バをシャットダウン

  11. See Also 特定URLへのアクセスを契機としたHTTPサーバのGraceful Shutdown https://int128.hatenablog.com/entry/2018/03/28/232810 gpup: Upload files to your

    Google Photos with the new Photos Library API https://github.com/int128/gpup kubelogin: kubectl with OpenID Connect authentication https://github.com/int128/kubelogin

  12. まとめ コマンドラインツールでOAuthやOpenID Connectを利用する場合、 ユーザは認可コードの貼り付けなどの複雑なオペレーションが必要になる 一時的にHTTPサーバを立ち上げてリダイレクトで認可コードを受け取ることで、ユーザ のオペレーションを軽減できる GoのHTTPサーバ、チャネルやゴルーチンを組み合わせた実装を紹介した