JavaのOAuthライブラリ比較検討

自己紹介出身　香川県趣味　読書最近ハマっていること　料理とダッシュ

目次 • 認可とOAuthの概要 • ライブラリの比較検討 • まとめ • 参考文献

概要

認証・認可の基本識別　Identification このIDは実在ユーザーのものか認証　Authentication 本当に本人か認可　Authorization 権限はどうするか

OAuthとは認可の仕組み　 APIで利用アクセストークンを用いて認可 OAuth 2.0認可フレームワークは、第三者アプリケーションがHTTPサービスへの限定的なアクセス権を取得することを可能にします。これは、リソース所有者とHTTP サービス間の承認インタラクションを調整することでリソース所有者の代理として、または第三者アプリケーションが自身の代理としてアクセス権を取得することを許可することによって行われます。この仕様は、RFC
5849で記述されたOAuth 1.0プロトコルを置き換え、廃止します。 https://datatracker.ietf.org/doc/html/rfc6749から抜粋し、日本語訳

どのライブラリを使用すると良いか（クライアント）

クライアント 1. Spring Security 2. Restlet Framework (draft 30) 3.
ScribeJava 4. oauth2-essentials 5. Light Java Client 6. Google OAuth Java Client 7. Pac4j 8. Nimbus 9. AppAuth for Android

基準 • 特徴 • メンテナンス • 学習コスト

Spring Security 特徴 • 包括的なセキュリティ機能を提供する、Springアプリケーションのための強力なフレームワークメンテナンス： • 9k stars
• Springの公式がサポート学習コスト • Spring Frameworkを使用しているなら低め

ScribeJava 特徴 • シンプルで使いやすい、軽量OAuthライブラリメンテナンス • 5.5k stars 学習コスト •
シンプルなAPIを提供 • ScribeJava is so easy your grandma can do it! （GitHubより抜粋）

Google OAuth Java Client 特徴 • Googleが提供する、汎用性と利便性を兼ね備えたOAuthクライアントライブラリメンテナンス •
626 stars • メンテナンスモードへ移行学習コスト • Google APIなどのライブラリを使っていると親和性あり

oauth2-essentials 特徴 • プラットフォーム非依存で、あらゆるHTTPクライアントと連携可能な、汎用 OAuth 2.0クライアントライブラリメンテナンス • 88 stars
• 2016年登場学習コスト • 比較的新めであるため、ドキュメントや記事が不足している可能性あり

Nimbus 特徴 • 標準規格に準拠した、堅牢で柔軟なOAuth 2.0およびOpenID Connect実装ライブラリメンテナンス • ??
stars: Bitbucketのため • 2025-02-26 にコミットあり　補足：SpringがNimbus使ってます学習コスト • 高め。記事少なめ。

まとめ使いやすさ・学習コスト →ScribeJava Springを使用しているなら →Spring Security ※サーバーサイド、インフラの構成も考慮する必要あり

参考文献 • 今さら聞けない暗号技術＆認証・認可　Web系エンジニア必須のセキュリティ基礎力をUP (Software Design別冊), https://amzn.asia/d/43sHiXD • OAuth徹底入門セキュアな認可システムを適用するための
原則と実践, https://amzn.asia/d/f7hNn6v • RFC 6749 4.1. Authorization Code Grant, https://datatracker.ietf.org/doc/html/rfc6749#section-4.1 • OAuth 2.0, https://oauth.net/2/

JavaのOAuthライブラリ比較検討

JavaのOAuthライブラリ比較検討

Taipy(タイピー)

More Decks by Taipy(タイピー)

Other Decks in Technology

Featured

Transcript