内容紹介

※この商品は固定レイアウトで作成されており、タブレットなど大きいディスプレイを備えた端末で読むことに適しています。また、文字列のハイライトや検索、辞書の参照、引用などの機能が使用できません。※PDF版をご希望の方はGihyo Digital Publishingも併せてご覧ください。

◆OpenID Connectを基礎から応用まで着実に学ぶ◆

　昨今のアプリケーションの開発では、OpenID Connectを使用してユーザ認証を行うケースが多くなっています。しかし、OpenID Connectについてよく知らずに使用している開発者も多いのではないのでしょうか？ きちんと理解しないままOpenID Connectを使用すると、上手く動かないときの調査に時間がかかったり、重大なセキュリティホールを潜ませてしまうリスクにつながります。 OpenID Connectをよく知らない開発者が多い理由として、その難しさがあります。筆者自身、OpenID Connectを理解するのに多くの時間を要しました。概念的な難しさに加え、数多くの用語が登場して複雑に関係しています。また、きちんと理解するにはOpenID Connectの仕様書を参照する必要がありますが、説明が機械的で学習向きとは言えません。

　本書は、OpenID Connectの知識がほとんどない方でも、OpenID Connectを理解してもらえるような内容です。OpenID Connectが登場した背景から始まり、各種フローを丁寧に説明します。代表的なセキュリティの脆弱性や対応方法についても説明します。また、サンプルアプリケーションを通して実装のイメージを伝えつつ、具体的にやりとりされるデータを示しながら説明します。 本書を読むことで、OpenID Connectを使用したアプリケーション開発に従事するための十分な知識を得ることができます。

■こんな方におすすめ

OpenID Connectを利用してアプリケーションへの実装を考えているプログラマー、エンジニア、セキュリティ担当者など。もしくはアプリケーションのセキュリティチェックをしている方など。

■目次

第1章　OpenID Connectの概要

　　1.1 身近な存在のOpenID Connect

　　1.2 OAuth 2.0について

　　1.3 ユーザー認証としてのOAuth 2.0

　　1.4 OpenID Connectによる拡張

　　1.5 本書でのOAuth 2.0の扱い

　　1.6 OIDCで登場する役割

　　1.7 Clientの形態

　　1.8 「コンフィデンシャル」と「パブリック」

　　1.9 IdPの調達

　　1.10 「1st Party Client」と「3rd Party Client

第2章　OIDCの利用シーン

　　2.1 業務向けのアプリケーションでの利用シーン

　　2.2 コンシューマ向けのアプリケーションでの利用シーン

第3章　エンドポイントとフローの種類

　　3.1 エンドポイントの種類

　　3.2 フローの種類

　　3.3 認可コードフロー

　　3.4 インプリシットフロー

　　3.5 ハイブリッドフロー

　　3.6 クライアントクレデンシャルフロー

　　3.7 リソースオーナーパスワードクレデンシャルフロー

　　3.8 フローの使い分け

第4章　トークンの種類と形式

　　4.1 トークンの種類

　　4.2 アクセストークン.

　　4.3 IDトークン

　　4.4 リフレッシュトークン

第5章　認可コードフローの詳細

　　5.1 認可コードフローの全体像

　　5.2 認可リクエスト

　　5.3 認可レスポンス

　　5.4 リダイレクションエンドポイントへのリクエスト

　　5.5 トークンリクエスト

　　5.6 トークンレスポンス

　　5.7 PKCEとは

第6章　アクセストークン取得後に行われる処理

　　6.1 （Client側） Resource Serverへのアクセス

　　6.2 （Resource Server側）アクセストークンの正当性の検証

　　6.3 （Client側）アクセストークンのリフレッシュ（再発行）

　　6.4 （Client、およびResource Server側）ユーザー情報の取得

第7章　ログアウトの方法

　　7.1 どこからログアウトするのか

　　7.2 OpenID Connect RP Initiated Logout

　　7.3 シングルログアウト

　　7.4 OpenID Connect Front-Channel Logout

　　7.5 OpenID Connect Back-Channel Logout

第8章　アプリケーションの実装例

　　8.1 Keycloakの紹介

　　8.2 Keycloakのインストールと初期設定

　　8.3 ディスカバリーエンドポイントの確認

　　8.4 サンプルプログラムの種類

第9章　ClientがSPAの認可コードフローの サンプルプログラム

　　9.1 サンプルプログラムの概要

　　9.2 KeycloakでのClientの設定

　　9.3 SPA（Client）の実装

　　9.4 APIサーバ（Resource Server）の実装

　　9.5 動作の流れ

第10章　ClientがBFFの認可コードフローのサンプルプログラム

　　10.1 サンプルプログラムの概要

　　10.2 KeycloakでのClientの設定

　　10.3 SPAの実装

　　10.4 BFFの実装

　　10.5 APIサーバの実装

　　10.6 動作の流れ

第11 章　Clientがネイティブアプリ（Androidアプリ）の認可コードフローのサンプルプログラム

　　11.1 サンプルプログラムの概要

　　11.2 KeycloakでのClientの設定

　　11.3 Androidアプリ（Client）の実装

　　11.4 APIサーバの実装

　　11.5 動作の流れ

第12章　クライアントクレデンシャルフローのサンプルプログラム

　　12.1 サンプルプログラムの概要

　　12.2 KeycloakでのClientの設定

　　12.3 バッチアプリ（Client）の実装

　　12.4 APIサーバの実装

　　12.5 動作の流れ

第13章　セキュリティの脅威と対応

　　13.1 代表的なセキュリティの脅威と対応

　　13.2 オープンリダイレクター

　　13.3 Refererヘッダによる認可コードの漏えい

　　13.4 認可コードインジェクション

　　13.4.1　対応方法

　　13.5 リダイレクションエンドポイントのCSRF

　　13.6 URIスキーマの不正な登録

　　13.7 Mix-Up攻撃（IdPの混同）

　　13.8 ほかのClientに発行したアクセストークンの転用

　　13.9 アプリケーション開発者が実施すべきこと

付録 A 　デバイスフロー

付録B 　外部IdP連携

付録C　OIDC関連の公式ドキュメント

■著者プロフィール

●著者ー土岐 孝平 （とき こうへい）：1976年宮崎生まれ。大学で情報工学を専攻。卒業後、いくつかの会社で働くが、いづれも上司とぶつかりすぐに退社。しばらく派遣社員としてさまざまな現場を経験したあと、2012年に合同会社 現場指向を設立。Javaをメインとしたアプリケーション開発の支援、教育をしている。主な著書として、「プロになるためのSpring入門」「間違いだらけのソフトウェア・アーキテクチャ」共著(小社)、「ITアーキテクトのためのクラウド設計・構築実践ガイド」共著(日経BP社)、「OpenID Connect入門」(Kindle ダイレクト・パブリッシング)などがある。

●監修者ー倉林 雅（くらはやし まさる）：　一般社団法人OpenIDファウンデーション・ジャパン 理事・エバンジェリスト。OpenID、OAuth、パスキー（Passkeys）などの認証・認可技術の普及啓発および教育活動に従事。国内大手インターネット企業において長年、大規模な認証・認可基盤の開発・運用を経験。現在はプロダクトマネージャーとして、安全で利便性の高いデジタルアイデンティティ基盤の構築を牽引している。主な著書として、『パスキーのすべて 導入・UX設計・実装』（当社刊行）がある。