認可プロトコルの上に認証プロトコルを構築する

参考

認可プロトコルの構成を見る

認証プロトコルの構成を見る

2つの対応付けが見える

OAuthとOpenID Connect

認可プロトコル+認証プロトコルという構成も考えられる

認可プロトコルの構成を見る

これはOAuth 2.0

https://gyazo.com/6029ea82ca892e493b32219951750913

4つの登場人物

Resource Owner

Client

Auth Server

Protected Resource

最終的な目的は⑥を行うこと

Clientは、Protected Resourceの提供するAPIを使用したい

そのためには、Resource Ownerの許可が必要

Resource Ownerが、Clientに権限を委譲することで⑥を達成する

access tokenを使用する

Clientにはクレデンシャルを教えたくない

access tokenを解析するのは、Protected Resource

Clientはaccess tokenに一時的に触れるが、Clientから見たら意味不明な文字列

これはOpenID Connect

https://gyazo.com/da035f657bb5f9900ffb0e64b3713a18

3つの登場人物

user

RP

IdP

最終的な目的は⑤を行うこと

ID tokenをRPに渡すことで認証する

ID tokenを発行する

ID tokenは、RPが解析する

2つの対応付けが見える

同じ色をしている部分が対応付けられていることがわかる

認可プロトコルの具体例がOAuth 2.0

認証プロトコルの具体例がOpenID Connect

OAuth 2.0がまずあって、その上にOpenID Connectが構築されている