Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CLIでOAuth/OIDCを快適に利用する

Hidetake Iwata
July 09, 2018
Technology
0
230

 CLIでOAuth/OIDCを快適に利用する

Gopher Dojo #2
2018.07.09

Hidetake Iwata

July 09, 2018
Tweet

More Decks by Hidetake Iwata

See All by Hidetake Iwata
Rewrite Go error handling using AST transformation
int128
1
930
Cluster AutoscalerをTerraformとHelmfileでデプロイしてPrometheusでモニタリングする / Deploy the Cluster Autoscaler with Terraform and Helmfile, Monitor with Prometheus
int128
3
1.2k
認証の仕組みとclient-go credential plugin / authentication and client-go credential plugin
int128
7
5.6k
AppEngine × Spring Boot × Kotlin
int128
0
64
いつものJIRA設定
int128
1
110
Swaggerのテンプレートを魔改造した話 / Customize Swagger Templates
int128
1
3.9k
本番環境のリリースを自動化した話
int128
0
490
Swagger × Spring Cloud
int128
0
55
The Evolution of System Architecture
int128
0
58

Other Decks in Technology

See All in Technology
Elastic Observability 體驗工作坊 @ DevOpsDays Taipei 2022
unclejoe
0
520
IIJmio meeting 33 IIJmio 2022年夏のおすすめ端末
iij_techlog
0
3.2k
cookpad_summer_intern_2022
junyaokabe
0
110
PHPerが再利用可能な情報提供でオフショア先とコード品質向上に取り組む / PHPer try improve the code quality
ykanoh
0
340
現場の泥臭い話を「QAマネジメント」という言葉で定義してみかわ
sadonosake
0
420
SAP Community and Developer Update
sygyzmundovych
0
210
PHP メモリ管理術
memory1994
PRO
2
780
フレームワークのソースコードから知識を深める
weistom
0
340
Using Change Data Capture for Stack Modernization
kamorisan
0
1.6k
PHPカンファレンス2022 東京 登壇資料 (スポンサーLT)
sdx_
0
130
XPを始める新人に伝えたい近道の鍵
nakasho
0
110
SNS連動型_サイネージ運用.pdf
bau
0
160

Featured

See All Featured
The Mythical Team-Month
searls
210
40k
Fantastic passwords and where to find them - at NoRuKo
philnash
29
1.7k
Building Applications with DynamoDB
mza
84
4.8k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
6
630
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
15k
Become a Pro
speakerdeck
PRO
3
2.4k
10 Git Anti Patterns You Should be Aware of
lemiorhan
642
53k
The World Runs on Bad Software
bkeepers
PRO
57
5.4k
Designing the Hi-DPI Web
ddemaree
273
32k
Rails Girls Zürich Keynote
gr2m
87
12k
Build The Right Thing And Hit Your Dates
maggiecrowley
21
1.3k
Making Projects Easy
brettharned
100
4.4k

Transcript

  1. CLIでOAuth/OIDCを 快適に利用する Hidetake Iwata (@int128)

  2. TL;DR CLI(コマンドラインツール)でOAuthやOpenID Connectを利用する場合、 ユーザは複雑なオペレーションが必要になる 一時的にHTTPサーバを立ち上げて認可コードを受け取ることで、 ユーザのオペレーションを軽減できる

  3. Hidetake Iwata https://github.com/int128 Software Engineer at Tokyo ❤ DevOps, Agile,

    CI/CD, Kubernetes, App Engine, Golang, Gradle, Groovy

  4. CLIでOAuthやOpenID Connectを利用する場合、ユーザは複雑なオペレーションが必 要になる 1. ターミナルでコマンドを実行する 2. ターミナルに表示されたURLをブラウザで開く 3. Googleアカウントでログインする 4.

    ブラウザに表示された認可コードをコピーする 5. ターミナルに認可コードをペーストする 6. コマンドの実行結果を見る OAuth/OIDC CLIの課題 https://developers.google.com/identity/protocols/OAuth2#installed

  5. OAuth/OIDC CLIの例 $ ./upload_google_drive Open https://accounts.google.com/… Enter code: XXXXXXXXXXX... OK.

    You are logged in as int128. ① ② ③ ④ ⑤ ⑥

  6. Package golang.org/x/oauth2 config := &oauth2.Config{ ClientID: clientID, ClientSecret: clientSecret, Endpoint:

    google.Endpoint, RedirectURL: "urn:ietf:wg:oauth:2.0:oob", } authCodeURL := config.AuthCodeURL(state) fmt.Printf("Open %s\nEnter code: ", authCodeURL) var code string _, err := fmt.Scanln(&code) token, err := config.Exchange(ctx, code) ② ⑤

  7. OAuth/OIDC CLIのUX改善 ユーザのオペレーションを以下のように軽減したい 1. ターミナルでコマンドを実行する 2. ターミナルに表示されたURLをブラウザで開く 3. Googleアカウントでログインする 4.

    ブラウザに表示された認可コードをコピーする 5. ターミナルに認可コードをペーストする 6. コマンドの実行結果を見る

  8. OAuth/OIDC CLIのUX改善 ユーザのオペレーションを以下のように軽減したい 1. ターミナルでコマンドを実行する 2. (外部コマンドで自動的にブラウザを開く) 3. Googleアカウントでログインする 4.

    (ローカルHTTPサーバにリダイレクトされる) 5. (ローカルHTTPサーバが認可コードを受け取る) 6. コマンドの実行結果を見る

  9. ブラウザベースの認可コードフロー [1] https://developers.google.com/identity/protocols/OAuth2#webserver 一般的なWebアプリケーションと同様にリダイレクト で認可コードを受け取る 1. HTTPサーバを実行する 2. ブラウザで認可要求URLを開く 3.

    http://localhost へのリダイレクトで認可コード を受け取る 4. HTTPサーバを終了する 5. 認可コードとトークンを交換する

  10. codeCh := make(chan string) errCh := make(chan error) server :=

    http.Server{":8080", &AuthCodeGrantHandler{ Callback: func(code string, err error) { switch { case err != nil: errCh <- err default: codeCh <- code } } }} go func() { if err := server.ListenAndServe(); err != nil && err != http.ErrServerClosed { errCh <- err } }() select { case err := <-errCh: server.Shutdown(ctx) return "", err case code := <-codeCh: server.Shutdown(ctx) return code, nil } HTTPサーバが認可コードを受け取っ たらチャネルに送信 ゴルーチンでHTTPサーバを実行 認可コードを受け取ったらHTTPサー バをシャットダウン

  11. See Also 特定URLへのアクセスを契機としたHTTPサーバのGraceful Shutdown https://int128.hatenablog.com/entry/2018/03/28/232810 gpup: Upload files to your

    Google Photos with the new Photos Library API https://github.com/int128/gpup kubelogin: kubectl with OpenID Connect authentication https://github.com/int128/kubelogin

  12. まとめ コマンドラインツールでOAuthやOpenID Connectを利用する場合、 ユーザは認可コードの貼り付けなどの複雑なオペレーションが必要になる 一時的にHTTPサーバを立ち上げてリダイレクトで認可コードを受け取ることで、ユーザ のオペレーションを軽減できる GoのHTTPサーバ、チャネルやゴルーチンを組み合わせた実装を紹介した