JavaのOAuthライブラリ 比較検討

Transcript

1. JavaのOAuthライブラリ 比較検討

2. 自己紹介 出身　香川県 趣味　読書 最近ハマっていること　料理とダッシュ

3. 目次 • 認可とOAuthの概要 • ライブラリの比較検討 • まとめ • 参考文献

4. 概要

5. 認証・認可の基本 識別　Identification このIDは実在ユーザーのものか 認証　Authentication 本当に本人か 認可　Authorization 権限はどうするか

6. OAuthとは 認可の仕組み　 APIで利用 アクセストークンを用いて認可 OAuth 2.0認可フレームワークは、第三者アプリケーションがHTTPサービスへの限 定的なアクセス権を取得することを可能にします。これは、リソース所有者とHTTP サービス間の承認インタラクションを調整することでリソース所有者の代理として、ま たは第三者アプリケーションが自身の代理としてアクセス権を取得することを許可す ることによって行われます。この仕様は、RFC

   5849で記述されたOAuth 1.0プロトコ ルを置き換え、廃止します。 https://datatracker.ietf.org/doc/html/rfc6749から抜粋し、日本語訳
7. None

8. どのライブラリを使用すると良いか （クライアント）

9. クライアント 1. Spring Security 2. Restlet Framework (draft 30) 3.

   ScribeJava 4. oauth2-essentials 5. Light Java Client 6. Google OAuth Java Client 7. Pac4j 8. Nimbus 9. AppAuth for Android

10. 基準 • 特徴 • メンテナンス • 学習コスト

11. Spring Security 特徴 • 包括的なセキュリティ機能を提供する、Springアプリケーションのため の強力なフレームワーク メンテナンス： • 9k stars

    • Springの公式がサポート 学習コスト • Spring Frameworkを使用しているなら低め

12. ScribeJava 特徴 • シンプルで使いやすい、軽量OAuthライブラリ メンテナンス • 5.5k stars 学習コスト •

    シンプルなAPIを提供 • ScribeJava is so easy your grandma can do it! （GitHubより抜粋）

13. Google OAuth Java Client 特徴 • Googleが提供する、汎用性と利便性を兼ね備えたOAuthクライアント ライブラリ メンテナンス •

    626 stars • メンテナンスモードへ移行 学習コスト • Google APIなどのライブラリを使っていると親和性あり

14. oauth2-essentials 特徴 • プラットフォーム非依存で、あらゆるHTTPクライアントと連携可能な、汎用 OAuth 2.0クライアントライブラリ メンテナンス • 88 stars

    • 2016年登場 学習コスト • 比較的新めであるため、ドキュメントや記事が不足している可能性あり

15. Nimbus 特徴 • 標準規格に準拠した、堅牢で柔軟なOAuth 2.0およびOpenID Connect実装 ライブラリ メンテナンス • ??

    stars: Bitbucketのため • 2025-02-26 にコミットあり　補足：SpringがNimbus使ってます 学習コスト • 高め。記事少なめ。

16. まとめ 使いやすさ・学習コスト →ScribeJava Springを使用しているなら →Spring Security ※サーバーサイド、インフラの構成も考慮する必要あり

17. 参考文献 • 今さら聞けない暗号技術＆認証・認可　Web系エンジニア 必須のセキュリティ基礎力をUP (Software Design別冊), https://amzn.asia/d/43sHiXD • OAuth徹底入門 セキュアな認可システムを適用するための

    原則と実践, https://amzn.asia/d/f7hNn6v • RFC 6749 4.1. Authorization Code Grant, https://datatracker.ietf.org/doc/html/rfc6749#section-4.1 • OAuth 2.0, https://oauth.net/2/