Upgrade to Pro — share decks privately, control downloads, hide ads and more …

5minutes_learning_OAuth

maimu
March 25, 2023
Programming
0
290

 5minutes_learning_OAuth

maimu

March 25, 2023
Tweet

More Decks by maimu

See All by maimu
rails_girls_is_my_gate_to_join_the_ruby_commuinty
maimux2x
0
470
ruby-flip-flop
maimux2x
0
120
before_rails_girls_after_rails_girls
maimux2x
0
710
my_study_of_ruby_method
maimux2x
1
160
one_liner_fizzbuzz
maimux2x
0
140
about_rails_girls_document_translation
maimux2x
0
6k
best_for_fbc
maimux2x
0
62
homemade_service_release_front_and_back
maimux2x
0
380
enjoy_conferences
maimux2x
0
5.8k

Other Decks in Programming

See All in Programming
為你自己學 Python
eddie
0
540
Fibonacci Function Gallery - Part 2
philipschwarz
PRO
0
230
個人アプリを2年ぶりにアプデしたから褒めて / I just updated my personal app, praise me!
lovee
0
300
PicoRubyと暮らす、シェアハウスハック
ryosk7
0
250
GitHub CopilotでTypeScriptの コード生成するワザップ
starfish719
28
6.1k
Kanzawa.rbのLT大会を支える技術の裏側を変更する Ruby on Rails + Litestream 編
muryoimpl
0
120
Amazon ECS とマイクロサービスから考えるシステム構成
hiyanger
1
180
さいきょうのレイヤードアーキテクチャについて考えてみた
yahiru
1
540
ISUCON14感想戦で85万点まで頑張ってみた
ponyo877
1
790
AWS Lambda functions with C# 用の Dev Container Template を作ってみた件
mappie_kochi
0
220
ゼロからの、レトロゲームエンジンの作り方
tokujiros
3
1.2k
オニオンアーキテクチャを使って、 Unityと.NETでコードを共有する
soi013
0
390

Featured

See All Featured
Navigating Team Friction
lara
183
15k
BBQ
matthewcrist
85
9.4k
Why Our Code Smells
bkeepers
PRO
335
57k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Become a Pro
speakerdeck
PRO
26
5.1k
For a Future-Friendly Web
brad_frost
176
9.5k
A Modern Web Designer's Workflow
chriscoyier
693
190k
It's Worth the Effort
3n
184
28k
Into the Great Unknown - MozCon
thekraken
34
1.6k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
175
51k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
98
18k

Transcript

  1. 5分で学ぶ OAuth2.0 Entaku.rb 2023-03-24 maimu

  2. 自己紹介 名前:まいむ GitHub:https://github.com/maimux2x Twitter:https://twitter.com/maimux2x 仕事でプロダクトマネジメントを担当する中で自分自身もサービス開発をしたいと思うよ うになりFjordBootCampでプログラマーを目指して学習中。 餡子もカスタードも大好きな甘党です!

  3. LTテーマ 5分で学ぶOAuth2.0

  4. テーマ選定理由 FjordBootCampの卒業課題でGoogleカレンダーAPIを利用したサービスを開発したい と考えていて、認可の仕組みを理解したかった

  5. OAuth2.0とは? サードパーティアプリケーションによるHTTPサービスへの限定的な アクセスを可能にする認可フレームワーク

  6. どゆこと?

  7. 具体例 ユーザー サードパーティアプリ (PDF編集アプリ等) HTTPサービス (Google OAuth ) HTTPサービス (Googleドライブ)

    GoogleドライブからPDFのダウン ロードだけが許可される GoogleドライブにあるPDFデータ を加工して上書きしたい ユーザーの同意を得 てPDF編集アプリにド ライブ内のPDFダウ ンロードを許可

  8. つまり OAuth2.0は「PDF編集アプリによるGoogleドライブへの限定的なアクセス」を可能にす るための仕組み

  9. ポイント:限定的なアクセス PDF編集アプリはGoogleドライブから「PDFデータのダウンロード」 しか許可されていない 万が一悪意あるアプリだったとしてもダウンロードしかできないため 影響は最低限に抑えられる では、どうやって限定的なアクセスを実現しているのか?

  10. OAuth2.0の仕組み リソースオーナー クライアント 認可サーバー リソースサーバー ①認可サーバーにリソースへのア クセス権を要求 ②リソースオーナーへ の意思を確認 ③アクセス権の委譲を

    同意 ④クライアントに対し てアクセストークンを 発行

  11. ポイント:アクセストークン • 誰のどのリソースにどのような操作を行うことが許可されているか ◦ 読み取り・書き込みなどの権限をスコープという仕組みで管理している • 有効期限 ◦ 期限を過ぎたアクセストークンでリクエストするとリソースサーバーは権限委譲を拒否する 認可サーバーがアクセストークンを発行し、クライアントがそのトークンを用いて操作のリ

    クエストをすることで、許可された操作のみが実行可能になる。

  12. まとめ • OAuth2.0は「サードパーティアプリによるリソースへの限定的なアクセス」を可能に するための「アクセストークン発行方法のルール」 • サードパーティアプリとリソースオーナーの間で、権限委譲の確認を行い、事前に 決められた権限のスコープに則ったアクセストークンを発行し、サードパーティアプ リに限定的な操作を許可している

  13. 参考資料 • 雰囲気でOAuth2.0を使っているエンジニアがOAuth2.0を整理して、手を動かしな がら学べる本(Auth屋 著)

  14. ご清聴ありがとうございました