Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CLIでOAuth/OIDCを快適に利用する

Hidetake Iwata
July 09, 2018
Technology
0
310

 CLIでOAuth/OIDCを快適に利用する

Gopher Dojo #2
2018.07.09

Hidetake Iwata

July 09, 2018
Tweet

More Decks by Hidetake Iwata

See All by Hidetake Iwata
Rewrite Go error handling using AST transformation
int128
1
1k
Cluster AutoscalerをTerraformとHelmfileでデプロイしてPrometheusでモニタリングする / Deploy the Cluster Autoscaler with Terraform and Helmfile, Monitor with Prometheus
int128
3
1.3k
認証の仕組みとclient-go credential plugin / authentication and client-go credential plugin
int128
7
6.1k
AppEngine × Spring Boot × Kotlin
int128
0
65
いつものJIRA設定
int128
1
130
Swaggerのテンプレートを魔改造した話 / Customize Swagger Templates
int128
1
4.1k
本番環境のリリースを自動化した話
int128
0
540
Swagger × Spring Cloud
int128
0
65
The Evolution of System Architecture
int128
0
86

Other Decks in Technology

See All in Technology
NAB Show 2023 動画技術関連レポート / NAB Show 2023 Report
cyberagentdevelopers
PRO
1
160
Oracle Exadata Database Service on [email protected] ([email protected]) - UI スクリーン・キャプチャ集
oracle4engineer
PRO
0
430
Oracle Exadata Database Service on [email protected] X9M ([email protected]) 技術詳細
oracle4engineer
PRO
0
1.5k
データマイニングと機械学習-SVM
trycycle
0
150
よくわかるフォルシアのエンジニア 旅行プラットフォーム部編
forcia_dev_pr
0
230
Microsoft Build 2023 Azure AI&ML 最新アップデート
shohei1029
1
200
組織の立ち上げと体制変更の1年
tarappo
2
940
k6による負荷試験 入門から実践まで
fujiwara3
3
1.2k
ウォンテッドリーの5年間に渡る推薦システムの変遷
hakubishin3
0
960
Microsoft Startup Tech Meetup #0 : Kikuchi
hikiroku
1
130
OCI Data Integration技術情報 / ocidi_technical_jp
oracle4engineer
PRO
0
460
What to talk about when you have nothing to talk about
moyheen
0
110

Featured

See All Featured
Designing for humans not robots
tammielis
245
24k
Bash Introduction
62gerente
602
210k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
3.7k
Imperfection Machines: The Place of Print at Facebook
scottboms
255
12k
The Brand Is Dead. Long Live the Brand.
mthomps
48
4.1k
Practical Orchestrator
shlominoach
179
9.2k
GraphQLとの向き合い方2022年版
quramy
23
11k
Rebuilding a faster, lazier Slack
samanthasiow
70
7.7k
YesSQL, Process and Tooling at Scale
rocio
158
13k
How STYLIGHT went responsive
nonsquared
89
4.3k
Building an army of robots
kneath
300
41k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
123
29k

Transcript

  1. CLIでOAuth/OIDCを
    快適に利用する
    Hidetake Iwata (@int128)

    View Slide

  2. TL;DR
    CLI(コマンドラインツール)でOAuthやOpenID Connectを利用する場合、
    ユーザは複雑なオペレーションが必要になる
    一時的にHTTPサーバを立ち上げて認可コードを受け取ることで、
    ユーザのオペレーションを軽減できる

    View Slide

  3. Hidetake Iwata
    https://github.com/int128
    Software Engineer at Tokyo ❤ DevOps, Agile, CI/CD, Kubernetes, App Engine, Golang, Gradle, Groovy

    View Slide

  4. CLIでOAuthやOpenID Connectを利用する場合、ユーザは複雑なオペレーションが必
    要になる
    1. ターミナルでコマンドを実行する
    2. ターミナルに表示されたURLをブラウザで開く
    3. Googleアカウントでログインする
    4. ブラウザに表示された認可コードをコピーする
    5. ターミナルに認可コードをペーストする
    6. コマンドの実行結果を見る
    OAuth/OIDC CLIの課題
    https://developers.google.com/identity/protocols/OAuth2#installed

    View Slide

  5. OAuth/OIDC CLIの例
    $ ./upload_google_drive
    Open https://accounts.google.com/…
    Enter code: XXXXXXXXXXX...
    OK.
    You are logged in as int128.






    View Slide

  6. Package golang.org/x/oauth2
    config := &oauth2.Config{
    ClientID: clientID,
    ClientSecret: clientSecret,
    Endpoint: google.Endpoint,
    RedirectURL: "urn:ietf:wg:oauth:2.0:oob",
    }
    authCodeURL := config.AuthCodeURL(state)
    fmt.Printf("Open %s\nEnter code: ", authCodeURL)
    var code string
    _, err := fmt.Scanln(&code)
    token, err := config.Exchange(ctx, code)


    View Slide

  7. OAuth/OIDC CLIのUX改善
    ユーザのオペレーションを以下のように軽減したい
    1. ターミナルでコマンドを実行する
    2. ターミナルに表示されたURLをブラウザで開く
    3. Googleアカウントでログインする
    4. ブラウザに表示された認可コードをコピーする
    5. ターミナルに認可コードをペーストする
    6. コマンドの実行結果を見る

    View Slide

  8. OAuth/OIDC CLIのUX改善
    ユーザのオペレーションを以下のように軽減したい
    1. ターミナルでコマンドを実行する
    2. (外部コマンドで自動的にブラウザを開く)
    3. Googleアカウントでログインする
    4. (ローカルHTTPサーバにリダイレクトされる)
    5. (ローカルHTTPサーバが認可コードを受け取る)
    6. コマンドの実行結果を見る

    View Slide

  9. ブラウザベースの認可コードフロー
    [1] https://developers.google.com/identity/protocols/OAuth2#webserver
    一般的なWebアプリケーションと同様にリダイレクト
    で認可コードを受け取る
    1. HTTPサーバを実行する
    2. ブラウザで認可要求URLを開く
    3. http://localhost へのリダイレクトで認可コード
    を受け取る
    4. HTTPサーバを終了する
    5. 認可コードとトークンを交換する

    View Slide

  10. codeCh := make(chan string)
    errCh := make(chan error)
    server := http.Server{":8080", &AuthCodeGrantHandler{
    Callback: func(code string, err error) {
    switch {
    case err != nil: errCh <- err
    default: codeCh <- code
    }
    }
    }}
    go func() {
    if err := server.ListenAndServe(); err != nil && err != http.ErrServerClosed {
    errCh <- err
    }
    }()
    select {
    case err := <-errCh:
    server.Shutdown(ctx)
    return "", err
    case code := <-codeCh:
    server.Shutdown(ctx)
    return code, nil
    }
    HTTPサーバが認可コードを受け取っ
    たらチャネルに送信
    ゴルーチンでHTTPサーバを実行
    認可コードを受け取ったらHTTPサー
    バをシャットダウン

    View Slide

  11. See Also
    特定URLへのアクセスを契機としたHTTPサーバのGraceful Shutdown
    https://int128.hatenablog.com/entry/2018/03/28/232810
    gpup: Upload files to your Google Photos with the new Photos Library API
    https://github.com/int128/gpup
    kubelogin: kubectl with OpenID Connect authentication
    https://github.com/int128/kubelogin

    View Slide

  12. まとめ
    コマンドラインツールでOAuthやOpenID Connectを利用する場合、
    ユーザは認可コードの貼り付けなどの複雑なオペレーションが必要になる
    一時的にHTTPサーバを立ち上げてリダイレクトで認可コードを受け取ることで、ユーザ
    のオペレーションを軽減できる
    GoのHTTPサーバ、チャネルやゴルーチンを組み合わせた実装を紹介した

    View Slide