認証と認可と君と (The Triple-A: Authentication, Authorization, and Android)

406ea2cac59924cedae4629c3c6c84fb?s=47 Kengo Suzuki
February 09, 2018

認証と認可と君と (The Triple-A: Authentication, Authorization, and Android)

# 概要
サービス提供者間のデータ連携が活発になるにあたり、認証・認可の重要性が一層増しています。そのような背景に応じてか、Google Identity Platform上のAndroidの機能が続々と登場しています。また、OAuth2.0などの技術標準がより一般的になってきました。これらを上手く利用し、ユーザー体験の利便性を損なわない、セキュアなAndroidアプリを作る方法についてお話します。

# 扱う技術
- OAuth2.0 for Native Applications
- FIDO UAF

# 詳細
"スマートフォン(スマホ)を使った金融サービスを生みやすくする。(中略) 同じサービスに同じ規制をかけ、銀行とフィンテック業者が連携しやすくする" と金融庁は宣言しました。Fintechに限らずサービスプロバイダは、ユーザーのデータをAPIなどを介して提供・利用し、新しい体験を創造していく流れが加速するでしょう。

その際に鍵となる概念が、"認証"と"認可"です。サービス提供者は、別のサービスのAPIを叩いてデータを提供してもらうには、ユーザーに**認可**をもらう必要があります。そして、認可の操作の前に、正しいユーザーを**認証**しなければなりません。

この認証と認可には、OAuth2.0 for Native ApplicationやFIDO UAFといった仕様に従う必要が有ると思います。

では、そのような技術・標準・APIをAndroidでどのように適用すればいいのでしょうか? 本セッションでは、上述した技術や標準をAndroidアプリで使う場合の実装方法・気にすべきポイントといった部分についてお話させて頂きます。

406ea2cac59924cedae4629c3c6c84fb?s=128

Kengo Suzuki

February 09, 2018
Tweet