OAuth・OPICについてのまとめ

一番分かりやすい OAuth の説明 - Qiita

一番分かりやすい OpenID Connect の説明 - Qiita

www.slideshare.net

OAuthまとめ

OPIC(OpenID Connect)

  • OpenID Connect 入門
  • 認証 + 認可(OAuth2.0) + 属性取得プロトコル
    • 基本的には認証技術(Authentication)
      • id_tokenとaccess tokenを発行してもらう
    • さらに属性取得機能もある
      • 属性: ユーザー情報など
  • 登場人物
    • RO(Resource Owner)
      • OPからID token, access token発行許可を求められる
      • その際、本人確認情報の提示を求められる
    • Client
      • OPへID tokenとaccess tokenを要求する
    • OpenID Provider(&& Authorization Server)
      • ROへ発行許可を求める
      • ID token, access tokenを生成しClientへ発行する

SAML

  • Security Assertion Markup Languageの略称であり、OASISによって策定された異なるインターネットドメイン間でユーザー認証を行うための XML をベースにした標準規格
  • SAMLに対応したSSOの仕組みを、SaaSの形で提供しているのが「OneLogin」

実装例

爆速ッ!! gem omniauth-google-oauth2 で認証させる

github.com

https://github.com/litencatt/railstutorial5/pull/7github.com

参考記事

オッス!オラ認証周りをまとめてみた - どんまいこのネタ帳

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone

非技術者のためのOAuth認証(?)とOpenIDの違い入門 | @_Nat Zone