Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
3rd Party API on Rails
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
tsuwatch
October 21, 2022
Programming
2.5k
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
3rd Party API on Rails
tsuwatch
October 21, 2022
Other Decks in Programming
See All in Programming
AI 輔助遺留系統現代化的經驗分享
jame2408
1
1.1k
Creating Composable Callables in Contemporary C++
rollbear
0
180
SREの積み重ねがAI駆動開発のガードレールになった ― 7つの実践/SRE Guardrails The 7
tomoyakitaura
3
420
AI時代のUIはどこへ行く?その2!
yusukebe
22
7.7k
OS アップデート対応の取り組み方がもっと共有されてほしい
andpad
0
110
Observability in Practice:Grafana 與 Edge Device SRE 的那些事
blueswen
0
180
その問い、本当に正しいですか?AI時代のエンジニアに必要な哲学と認知科学 / ai-philosophy-cognitive-science
minodriven
14
6.6k
Spring Security 実践 ─ GraphQL APIで実務に役立つ 認証・認可 を学ぶ
wagyu
0
270
フロントエンドとバックエンドで「1文字」を揃えよう
youkidearitai
PRO
0
780
任せる範囲はこう広がった / How the Scope of AI Delegation Has Expanded
nrslib
1
220
The NotImplementedError Problem in Ruby
koic
1
1.1k
Lessons from Spec-Driven Development
simas
PRO
0
240
Featured
See All Featured
Ruling the World: When Life Gets Gamed
codingconduct
0
270
The Cult of Friendly URLs
andyhume
79
6.9k
Typedesign – Prime Four
hannesfritz
42
3.1k
The Curious Case for Waylosing
cassininazir
1
420
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
320
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
860
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
How to build a perfect <img>
jonoalderson
1
5.8k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.7k
Abbi's Birthday
coloredviolet
3
8.4k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
870
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
250
Transcript
3rd Party API on Rails Kaigi on Rails 2022 2022.10.21
- 22 @internet(online) 株式会社ZOZO ブランドソリューション開発本部 バックエンド部 ディレクター 諏訪 智大(@tsuwatch) Copyright © ZOZO, Inc. 1
© ZOZO, Inc. 株式会社ZOZO ブランドソリューション開発本部 バックエンド部 ディレクター 諏訪 智大 2015年ドワンゴ入社、2021年4月ZOZO入社
WEAR開発責任者 Twitter/GitHub: @tsuwatch 2
© ZOZO, Inc. https://wear.jp/ 3 • ファッションコーディネートアプリ • 1,600万ダウンロード突破、コーディネート投稿総数は1,300万件以上 (2022年6月末時点)
• ピックアップタグから最新のトレンドをチェック • コーディネート着用アイテムを公式サイトで購入可能 • WEAR公認の人気ユーザーをWEARISTAと認定。モデル・タレント・デザ イナー・インフルエンサーといった各界著名人も参加
© ZOZO, Inc. 4 今日お話しすること
© ZOZO, Inc. 5 APIの公開 • WEARのコーディネートデータを広く活用し、他サービスを通じてファッションの悩みを解決 ◦ コーディネート検索APIを提供 ▪
Yahoo!天気 • 現在の天気からおすすめのコーディネート ▪ Yahoo! BEAUTY • 髪型に合っているコーディネート ▪ ZOZOTOWN PayPayモール店 • 販売している服を使用したコーディネート 背景 ※ 実際のYahoo! 天気アプリでの表示
© ZOZO, Inc. 6 APIの公開 • 実現したいこと ◦ 利用できるクライアントを限定 ◦
利用できるエンドポイントをクライアントごとに限定 ◦ セキュアに提供 どう公開するか?
© ZOZO, Inc. 7 APIの公開 • OAuth2.0 ◦ サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワー ク
◦ スコープによってリソースへのアクセスを制御 ◦ 安全 どう公開するか?
© ZOZO, Inc. 8 アプリケーションの構成 • WEAR ◦ API ▪
WEARアプリ用既存API ◦ 3rd Party API ▪ 3rd Party用新規API • リソースの取得、スコープの確認 • AuthZ Service ◦ API ▪ AccessTokenの発行、検証 ▪ 公開鍵の提供 ◦ Management Web ▪ 開発者用管理画面 • クライアントIDの発行
© ZOZO, Inc. 9 スコープの設計 • 仕様 ◦ 大文字と小文字を区別しない ◦
スペース区切りのリストで表現 ◦ 省略した場合無効とするかデフォルト値とする ◦ https://www.rfc-editor.org/rfc/rfc6749#section-3.3 • 例 ◦ Twiiter ▪ tweet.read • TwitterのツイートをGETする系のAPIが使える とても自由度が高く、どう作るか自分たちで考える必要がある
© ZOZO, Inc. 10 スコープの事例 • スコープ例 ◦ repo ▪
repo:status ▪ repo:invite ◦ write:packages ◦ read:packages ◦ admin:org • コロンでネームスペースを区切ってうまく考えている印象 ◦ 権限:リソース、リソース指定だけで全権限 • スコープ指定なしでパブリックな情報へのアクセス権限付与 GitHub OAuth Apps
© ZOZO, Inc. 11 スコープの事例 • スコープ例 ◦ https://www.googleapis.com/auth/youtube.readonly ▪
YouTubeアカウントの表示 ◦ https://www.googleapis.com/auth/youtube.upload ▪ YouTube動画のアップロード、管理 • URLの形式 ◦ text/plainでスコープ名がレスポンスされる ◦ パスに権限が表現されている ◦ 内部でこのURLにアクセスして動的になにかしら制御している? YouTube Data API
© ZOZO, Inc. 12 スコープの事例 • スコープ例 ◦ profile ◦
profile%20openid%20email • スペース区切りのリストで表現はされているが、特定の組み合わせのみサポート LINE
© ZOZO, Inc. 13 スコープの事例 • スコープ例 ◦ tweet.read ◦
tweet.write ◦ users.read ◦ follows.write • GitHubと似ているドット区切りで指定 ◦ リソース.権限 Twitter
© ZOZO, Inc. 14 スコープの事例 サービス スコープ例 GitHub • repo
◦ repo:status • write:packages • admin:org YouTube • https://www.googleapis.com/auth/youtube.readonly • https://www.googleapis.com/auth/youtube.upload LINE • profile • profile%20openid%20email Twitter • tweet.read • users.read • follows.write
© ZOZO, Inc. 15 スコープの設計 • リソースサーバが使用するフレームワークや提供するAPIによって変わりそう ◦ 今回はRESTful APIへの認可
▪ リソース単位で権限を付与 • RESTと相性がよく、明快 ▪ リソースに対するアクションで権限を分割 • リソースに対して何でもできるのは権限として大きすぎる
© ZOZO, Inc. 16 スコープの設計 • HTTPメソッドとリソースを組み合わせる ◦ 権限 ▪
HTTPメソッド(GET、POST、PATCH) ◦ リソース ▪ パス • 例 ◦ get:coordinates ◦ post:coordinates RESTful APIとスコープ
© ZOZO, Inc. 17 スコープの設計 • Railsのコントローラは便利 ◦ action_name ▪
メソッド名を取得可能 ◦ controller_name ▪ コントローラ名を取得可能 • 例 ◦ create:coordinates ◦ update:coordinates Ruby on Railsとスコープ
© ZOZO, Inc. 18 WEARで導入しているスコープ • Ruby on Railsでエンドポイントごとにスコープを分割するのは簡単にできそう ◦
細かく分割しすぎるとスコープの管理コストがとても高い ◦ 作成権限を付与して、更新権限がないというのはあまり考えられない • 結論 ◦ read or write:controller_name ▪ リソース名はcontroller_nameで取得しつつ、権限はもう少し大雑把にする ▪ readとwriteで分割 • read ◦ GET • write ◦ POST、PUT、PATCH、DELETE 結局どうしたのか
© ZOZO, Inc. 19 スコープの検証 def required_read_scope scope_name = "read:#{controller_name}"
render_unauthorized unless current_access_token.scopes.include?(scope_name) end def required_write_scope scope_name = "write:#{controller_name}" render_unauthorized unless current_access_token.scopes.include?(scope_name) end 権限ごとにメソッドを実装
© ZOZO, Inc. 20 スコープの検証 class CoordinatesController < ApplicationController before_action
:required_read_scope, only: [:show] def show; end end before_actionで制御
© ZOZO, Inc. 21 1st Partyでも利用したい • ほぼほぼ全APIが利用可能 ◦ allというスコープを用意し、read、writeで制御しているスコープについて全権限付与
def required_read_scope return if current_access_token.scopes.include?('all') scope_name = "read:#{controller_name}" render_unauthorized unless current_access_token.scopes.include?(scope_name) end def required_write_scope return if current_access_token.scopes.include?('all') scope_name = "write:#{controller_name}" render_unauthorized unless current_access_token.scopes.include?(scope_name) end
© ZOZO, Inc. 22 特定クライアント専用のAPIを提供したい • 権限とリソースの組み合わせのスコープ ▪ クライアント間でユニークなスコープではない •
意図しないクライアントにも権限が付与されてしまう可能性 • zozotownなどのクライアント名をスコープとして追加 ◦ クライアント単位でユニークなスコープを作成 ▪ 特定のクライアントからのみ利用されることを保証
© ZOZO, Inc. 23 特定クライアント専用のAPIを提供したい • クライアント名でスコープを作成 ◦ allを付与していても利用できなくすることが可能 def
required_specified_scope(custom_allow_scope) render_unauthorized unless (custom_allow_scope & current_access_token.scopes).present? end class CoordinatesController < ApplicationController before_action -> { required_specified_scope(‘zozotown’) }, only: [:show] def show; end end
© ZOZO, Inc. 24 実際に導入してみて • controller_nameが同じになってしまい、意図せず権限を付与してしまうケース ◦ 例:read:coordinates ▪
GET v1/coordinates/:id(CoordinatesController#show) • コーディネートの詳細 ▪ GET v1/companies/:id/coordinates(Companies::CoordinatesController#index) • Companyのコーディネート一覧 ◦ 企業のコーディネート情報の権限は付与したくない場合の回避策 ▪ 新たな権限を設ける • company:coordinates ▪ スコープを意識したパスを考える • read:company_coordinates ▪ ネームスペースも含める • read:companies::coordinates
© ZOZO, Inc. 25 実際に導入してみて • スコープとAPIを同時に設計する必要がある ◦ APIを実装したら半自動的にスコープ名も決定 ▪
誰のためのどういうリソースなのかを考える必要があり、良い設計になりやすい • ※APIを実装しようと思ったらすでに同名エンドポイントがあり、既存APIの処理内容に違和感があるとい うことが起こりにくくなりそう • スコープ名を見ただけでどのエンドポイントが利用できるか影響範囲がわかりやすい
© ZOZO, Inc. 26 今後の課題 1st Partyでの使用 • WEARのWEBサイトでも1st
PatryとしてAPIを利用している ◦ ログインしていない(アクセストークンが存在しない)ユーザーにもAPIを提供しなければならない • 同じエンドポイントでもアクセストークンを検証する場合としない場合を制御する必要
© ZOZO, Inc. 27 今後の課題 • 各社制限のつけかたは十人十色 ◦ 全エンドポイント、エンドポイント単位、特定のグループ単位 •
一応RFCに仕様があるので従っておいたほうが良さそう ◦ https://datatracker.ietf.org/doc/html/draft-polli-ratelimit-headers-01 ◦ レスポンスヘッダ ▪ RateLimit-Limit: 単位時間内の割り当てられているリクエスト数 ▪ RateLimit-Remaining: 単位時間内に割り当てられている残りのリクエスト数 ▪ RateLimit-Reset: 割り当てがリセットされるまでの時間 ◦ リソースサーバでアプリケーションごとに実行回数をDBなどに保存してレスポンスするとか Rate Limit
© ZOZO, Inc. 28 まとめ • Ruby on Railsで外部にAPIをOAuthで提供しました ◦
スコープの設計が大切 ▪ controller_name、action_nameが便利 ◦ 良いAPIになりやすい • まだまだやるべきことは残っている • みなさんもAPIを公開していきましょう
None