TL
ホーム/セキュリティ/認証・認可の方式/ OAuth 2.0

Product Profile

OAuth 2.0

認可フレームワーク

パスワードを渡さずに、サードパーティへ「ここまでアクセスしてよい」という権限を委譲する認可の標準「〇〇でログイン」や API 連携の土台

TL;DR要点だけ先に
  • 1.パスワードを渡さず権限を委譲する認可の標準。
  • 2.スコープで「どこまで許すか」を細かく絞れる。
  • 3.本人確認も要るなら OIDC を上に重ねる。

Specifications

基本情報

Introducing

OAuth 2.0パスワードを渡さずに、サードパーティへ「ここまでアクセスしてよい」という権限を委譲する認可の標準。「〇〇でログイン」や API 連携の土台。
種別
認可フレームワーク
目的
認可アクセス委譲)
トークン/形式
アクセストークン
最大の強み
パスワードを共有せず権限委譲スコープで権限を細かく絞れる
代表的な用途
API へのアクセス委譲「〇〇でログイン」の基盤 / サードパーティ連携

Decision Guide

選定ポイント

採用する理由と、事前に受け入れるべきトレードオフを分けて確認します。

Why It Fits

選ぶ理由

  1. パスワードを共有せず権限委譲
  2. スコープで権限を細かく絞れる
  3. 業界標準で連携先が豊富

Trade-offs

考慮すべき点

  1. あくまで認可で、本人確認(認証)は別(→ OIDC)
  2. フローが複数あり実装を誤ると危険
  3. リダイレクト/トークン管理に注意

Deep Dive

もっと詳しく

どんな仕組みか

OAuth 2.0 は、パスワードを相手に渡さずに「ここまでアクセスしてよい」という権限だけを第三者へ委譲するための標準仕様です。鍵となるのは「アクセス委譲(認可)」であって、本人確認そのものではありません。

たとえば、あるアプリに「Google ドライブの特定ファイルだけ読ませたい」とき、Google のパスワードをアプリに教える代わりに、限定された権限を持つアクセストークンを発行して渡します。

どう動くのか

利用者がアプリの要求を承認すると、認可サーバがアクセストークンを発行します。アプリはそのトークンを付けて API を呼び、リソース側はトークンの正当性と範囲を確認して応答します。

  • スコープ(scope)で「読み取りだけ」「特定の範囲だけ」と権限を絞り込める
  • トークンには有効期限があり、リフレッシュトークンで更新できる
  • 実際の権限取得の流れは「認可コードフロー」など複数のグラントタイプがある

他の方式との違い

OAuth 2.0 が扱うのはあくまで「何にアクセスしてよいか」という認可です。「誰がログインしたのか」という本人確認(認証)は対象外で、その役割は上に乗せる OpenID Connect が担います。

「○○でログイン」と書かれていても、ログイン(認証)部分は OIDC、外部サービスへの API 連携部分は OAuth 2.0、と整理すると混乱しにくくなります。

使いどころ・注意点

SaaS 同士の連携や、外部アプリに自社 API を使わせる場面の土台として広く使われます。スコープを最小限に絞り、トークンの有効期限と保管を適切に管理することが安全運用の前提です。

OAuth 2.0 を「ログインの仕組み」と誤解したまま認証に流用すると、本人確認の保証が不十分になります。認証が必要なら OIDC を併用します。

Implementation View

OAuth 2.0を実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

API へのアクセス委譲

比較で見る軸

種別: 認可フレームワーク / 目的: 認可(アクセス委譲) / トークン/形式: アクセストークン

導入後に効く点

スコープで権限を細かく絞れる

先に潰すリスク

あくまで認可で、本人確認(認証)は別(→ OIDC)

数字・仕様の読み方
種別
認可フレームワーク
目的
認可(アクセス委譲)
トークン/形式
アクセストークン

判断チェックリスト

  • 自社の用途が「API へのアクセス委譲 / 「〇〇でログイン」の基盤」に近いか確認する。
  • 強みである「パスワードを共有せず権限委譲」が本当に評価軸になるか確認する。
  • 注意点の「あくまで認可で、本人確認(認証)は別(→ OIDC)」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

API へのアクセス委譲「〇〇でログイン」の基盤サードパーティ連携
参考: 公式サイト

Best Fit

こんな用途に向く

API へのアクセス委譲「〇〇でログイン」の基盤サードパーティ連携
公式サイト