OAuthは認証ではなく認可の仕組みである （完全 に理解したLT） yamatai12 1 

自己紹介 yamatai12（Webエンジニア） SNS X(taiyama1212) Qiita(yamatai12) Zenn(yamatai12) 好きなこと ジム 2 

背景 OAuthは認可の仕組みに使われることは理解した しかし、OAuth自体が認証の仕組みではない理由を理解できていない 完全に理解したい 3 

OAuthとは リソース所有者が、外部のアプリに自分の代わりになって保護 されているリソースにアクセスできるよう委譲する仕組みのこ と 4 

5 

認可とは 何ができるか（リソースを利用すること）を決める仕組みのこ と 6 

7 

つまり、OAuthは認可の仕組みである 8 

認証とは アクセスしてきたユーザーが誰であるかを特定すること そのユーザーがそのアプリケーションに存在するか確認するこ と 9 

OAuthの仕組みでクライアントが受け取るトークンだ けでは認証機能としては不十分 アクセストークンを受け取ることでユーザーの認証が証明されたと考えてしまうこと がある 理由） アクセストークンを初めて発行する際にユーザーは認可サーバーで認証される為 10 

しかし、アクセストークンだけではユーザーが現在そのアプリケーションに存在して いるかは分からない（ユーザーを特定できない） アクセストークンはAPIにアクセスする為に使うもの 例） アクセストークンを発行してクライアントが受け取った後にユーザーが退会する → 今そのユーザーが存在しない 11 

OAuthを認証機能の一部として使う 以下の仕組みでOAuthが認証システムの一部に利用される クライアントがOAuthでトークンを取得する そのトークンからユーザー情報APIにアクセスして取得する 取得したユーザー情報をからそのユーザーを特定する（認可したユーザーと同一 であることを確認する） 12 

13 

まとめ OAuthは認証の仕組みそのものではなく、認可の仕組みである ただし、OAuthで得られたユーザー情報を使うことで、認証機 能の一部に利用することができる 14 

参考 https://atmarkit.itmedia.co.jp/ait/articles/1708/31/news124.html https://qiita.com/yamatai12/items/8e95410ebf74baf74315 https://zenn.dev/takamin55/articles/538711ed6fd48d https://www.oreilly.co.jp/books/9784873116860/ https://www.shoeisha.co.jp/book/detail/9784798159294 https://tech.iimon.co.jp/entry/2025/05/13/180000 https://zenn.dev/takamin55/articles/538711ed6fd48d https://atmarkit.itmedia.co.jp/ait/articles/1708/31/news124.html 15