$30 off During Our Annual Pro Sale. View Details »

CLIでOAuth/OIDCを快適に利用する

Hidetake Iwata
July 09, 2018
Technology
0
420

 CLIでOAuth/OIDCを快適に利用する

Gopher Dojo #2
2018.07.09

Hidetake Iwata

July 09, 2018
Tweet

More Decks by Hidetake Iwata

See All by Hidetake Iwata
Rewrite Go error handling using AST transformation
int128
1
1.1k
Cluster AutoscalerをTerraformとHelmfileでデプロイしてPrometheusでモニタリングする / Deploy the Cluster Autoscaler with Terraform and Helmfile, Monitor with Prometheus
int128
3
1.4k
認証の仕組みとclient-go credential plugin / authentication and client-go credential plugin
int128
7
6.4k
AppEngine × Spring Boot × Kotlin
int128
0
69
いつものJIRA設定
int128
1
140
Swaggerのテンプレートを魔改造した話 / Customize Swagger Templates
int128
1
4.3k
本番環境のリリースを自動化した話
int128
0
580
Swagger × Spring Cloud
int128
0
77
The Evolution of System Architecture
int128
0
120

Other Decks in Technology

See All in Technology
AWS re:Invent 2023に参加してきた ~Amazon Inspectorのアップデートを添えて~ / AWS re:Invent 2023 Participation Bulletin with Amazon Inspector Updates
yuj1osm
0
220
GPT APIを使ったテキスト生成コンペ@YANS2023に参加した話
naohachi89
2
870
隙間家具OSS開発で『自分の庭』をつくる / kayac-andpad-event
fujiwara3
0
390
CTO of the year 2023ピッチ資料(オーディエンス賞)チューリングCTO青木
aoshun7
0
680
LINEでのコミュニケーションにマスコットキーホルダーを使ってみる / LINEを使ったLT大会 #5
you
PRO
0
110
LINE WORKS 最新メジャーアップデート(v3.8)勉強会
lwug
0
150
231116 あつまれ入力デバイスの沼 Ryu.Cyberさん
comucal
PRO
0
230
Exploring Postgres VACUUM with the VACUUM Simulator
keiko713
5
720
CSSパフォーマンスに関する計測結果
poteboy
3
1.4k
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
0
150
技術広報経験0のEMがエンジニアブランディングをはじめてみた
coconala_engineer
1
130
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
0
2.2k

Featured

See All Featured
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.7k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
53
33k
Build your cross-platform service in a week with App Engine
jlugia
223
17k
Done Done
chrislema
178
15k
Designing on Purpose - Digital PM Summit 2013
jponch
108
6.2k
10 Git Anti Patterns You Should be Aware of
lemiorhan
645
57k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
123
31k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
How to train your dragon (web standard)
notwaldorf
71
4.8k
Clear Off the Table
cherdarchuk
81
300k
[RailsConf 2023] Rails as a piece of cake
palkan
17
3.2k
From Idea to $5000 a Month in 5 Months
shpigford
376
45k

Transcript

  1. CLIでOAuth/OIDCを
    快適に利用する
    Hidetake Iwata (@int128)

    View Slide

  2. TL;DR
    CLI(コマンドラインツール)でOAuthやOpenID Connectを利用する場合、
    ユーザは複雑なオペレーションが必要になる
    一時的にHTTPサーバを立ち上げて認可コードを受け取ることで、
    ユーザのオペレーションを軽減できる

    View Slide

  3. Hidetake Iwata
    https://github.com/int128
    Software Engineer at Tokyo ❤ DevOps, Agile, CI/CD, Kubernetes, App Engine, Golang, Gradle, Groovy

    View Slide

  4. CLIでOAuthやOpenID Connectを利用する場合、ユーザは複雑なオペレーションが必
    要になる
    1. ターミナルでコマンドを実行する
    2. ターミナルに表示されたURLをブラウザで開く
    3. Googleアカウントでログインする
    4. ブラウザに表示された認可コードをコピーする
    5. ターミナルに認可コードをペーストする
    6. コマンドの実行結果を見る
    OAuth/OIDC CLIの課題
    https://developers.google.com/identity/protocols/OAuth2#installed

    View Slide

  5. OAuth/OIDC CLIの例
    $ ./upload_google_drive
    Open https://accounts.google.com/…
    Enter code: XXXXXXXXXXX...
    OK.
    You are logged in as int128.






    View Slide

  6. Package golang.org/x/oauth2
    config := &oauth2.Config{
    ClientID: clientID,
    ClientSecret: clientSecret,
    Endpoint: google.Endpoint,
    RedirectURL: "urn:ietf:wg:oauth:2.0:oob",
    }
    authCodeURL := config.AuthCodeURL(state)
    fmt.Printf("Open %s\nEnter code: ", authCodeURL)
    var code string
    _, err := fmt.Scanln(&code)
    token, err := config.Exchange(ctx, code)


    View Slide

  7. OAuth/OIDC CLIのUX改善
    ユーザのオペレーションを以下のように軽減したい
    1. ターミナルでコマンドを実行する
    2. ターミナルに表示されたURLをブラウザで開く
    3. Googleアカウントでログインする
    4. ブラウザに表示された認可コードをコピーする
    5. ターミナルに認可コードをペーストする
    6. コマンドの実行結果を見る

    View Slide

  8. OAuth/OIDC CLIのUX改善
    ユーザのオペレーションを以下のように軽減したい
    1. ターミナルでコマンドを実行する
    2. (外部コマンドで自動的にブラウザを開く)
    3. Googleアカウントでログインする
    4. (ローカルHTTPサーバにリダイレクトされる)
    5. (ローカルHTTPサーバが認可コードを受け取る)
    6. コマンドの実行結果を見る

    View Slide

  9. ブラウザベースの認可コードフロー
    [1] https://developers.google.com/identity/protocols/OAuth2#webserver
    一般的なWebアプリケーションと同様にリダイレクト
    で認可コードを受け取る
    1. HTTPサーバを実行する
    2. ブラウザで認可要求URLを開く
    3. http://localhost へのリダイレクトで認可コード
    を受け取る
    4. HTTPサーバを終了する
    5. 認可コードとトークンを交換する

    View Slide

  10. codeCh := make(chan string)
    errCh := make(chan error)
    server := http.Server{":8080", &AuthCodeGrantHandler{
    Callback: func(code string, err error) {
    switch {
    case err != nil: errCh <- err
    default: codeCh <- code
    }
    }
    }}
    go func() {
    if err := server.ListenAndServe(); err != nil && err != http.ErrServerClosed {
    errCh <- err
    }
    }()
    select {
    case err := <-errCh:
    server.Shutdown(ctx)
    return "", err
    case code := <-codeCh:
    server.Shutdown(ctx)
    return code, nil
    }
    HTTPサーバが認可コードを受け取っ
    たらチャネルに送信
    ゴルーチンでHTTPサーバを実行
    認可コードを受け取ったらHTTPサー
    バをシャットダウン

    View Slide

  11. See Also
    特定URLへのアクセスを契機としたHTTPサーバのGraceful Shutdown
    https://int128.hatenablog.com/entry/2018/03/28/232810
    gpup: Upload files to your Google Photos with the new Photos Library API
    https://github.com/int128/gpup
    kubelogin: kubectl with OpenID Connect authentication
    https://github.com/int128/kubelogin

    View Slide

  12. まとめ
    コマンドラインツールでOAuthやOpenID Connectを利用する場合、
    ユーザは認可コードの貼り付けなどの複雑なオペレーションが必要になる
    一時的にHTTPサーバを立ち上げてリダイレクトで認可コードを受け取ることで、ユーザ
    のオペレーションを軽減できる
    GoのHTTPサーバ、チャネルやゴルーチンを組み合わせた実装を紹介した

    View Slide