一番分かりやすい OAuth の説明 - Qiita

一番分かりやすい OpenID Connect の説明 - Qiita

www.slideshare.net

OAuthまとめ

• 認可技術(Authorization)
• 登場人物(と具体例)
  • Resource Owner(ユーザ)
    • Client利用者
    • ClientからユーザResourceへのアクセス許可OKかをAuthサーバから聞かれる
  • Client(Google Drive用の3rdパーティ製アプリなど)
    • Authサーバに予め登録しておく
    • ユーザが利用時にAuthサーバからaccess tokenをもらう
    • access tokenをつかってRSにAPI実行
  • Authorization Server(Google)
    • 登録アプリの管理
    • clientからaccess token要求時にROへ許可を貰いに行く
    • ROからの許可を得たらaccess tokenをClientへ発行する
  • Resource Server(Google Drive)
    • Clientからきた要求に付与されたaccess tokenが有効か検証する
    • tokenが有効なら要求されたデータを返す
• OAuth 2.0 Core & Bearer Spec (RFC 6749 & RFC 6750) 翻訳公開！
• OAuth / OpenID Connectを中心とするAPIセキュリティについて

OPIC(OpenID Connect)

• OpenID Connect 入門
• 認証 + 認可(OAuth2.0) + 属性取得プロトコル
  • 基本的には認証技術(Authentication)
    • id_tokenとaccess tokenを発行してもらう
  • さらに属性取得機能もある
    • 属性: ユーザー情報など
• 登場人物
  • RO(Resource Owner)
    • OPからID token, access token発行許可を求められる
    • その際、本人確認情報の提示を求められる
  • Client
    • OPへID tokenとaccess tokenを要求する
  • OpenID Provider(&& Authorization Server)
    • ROへ発行許可を求める
    • ID token, access tokenを生成しClientへ発行する

SAML

• Security Assertion Markup Languageの略称であり、OASISによって策定された異なるインターネットドメイン間でユーザー認証を行うための XML をベースにした標準規格
• SAMLに対応したSSOの仕組みを、SaaSの形で提供しているのが「OneLogin」

実装例

爆速ッ!! gem omniauth-google-oauth2 で認証させる

github.com

https://github.com/litencatt/railstutorial5/pull/7github.com

参考記事

オッス！オラ認証周りをまとめてみた - どんまいこのネタ帳

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone

非技術者のためのOAuth認証(?)とOpenIDの違い入門 | @_Nat Zone