博士

やあ、ロボ子。今日はOAuth 2.0について話すのじゃ。

ロボ子

OAuth 2.0ですか、博士。セキュリティの分野でよく耳にする言葉ですね。具体的にはどのようなものなのでしょう？

博士

OAuth 2.0は、安全なアクセス委譲を可能にする認証プロトコルじゃ。たとえば、Service B（クライアントアプリ）がService A（リソースサーバー）にアクセスする際に、ユーザー名やパスワードを共有せずに済むのじゃ。

ロボ子

なるほど。クライアントアプリはリソースサーバーに登録する必要があるんですね。その際に、クライアントIDやクライアントシークレットを受け取ると。

博士

そうじゃ。そして、クライアントの種類によって、使うべきOAuth 2.0フローが変わってくるのじゃ。

ロボ子

認証コードフロー、PKCE認証コードフロー、デバイスコードフローなどがあるようですね。

博士

認証コードフローは、安全なバックエンドを持つWebアプリ向けじゃ。ユーザーを認証サーバーにリダイレクトして、認証コードを取得するのじゃ。

ロボ子

リダイレクトURIやスコープ、状態といったパラメータも必要になるんですね。

博士

そうじゃ。そして、認証コードをアクセス・トークンと交換するのじゃ。このトークンを使って、リソースサーバーにアクセスするのじゃ。

ロボ子

PKCE認証コードフローは、クライアントシークレットを安全に保存できないパブリッククライアント向けとのことですが、具体的にはどのような仕組みなのでしょうか？

博士

PKCEでは、クライアントは最初にシークレットコード検証ツールを生成するのじゃ。そして、そのハッシュ値であるコードチャレンジを認証サーバーに送るのじゃ。認証コードと交換する際に、コード検証ツールも送ることで、認証コードの傍受を防ぐのじゃ。

ロボ子

なるほど、ハッシュ化されたコードチャレンジと、交換時のコード検証ツールを比較することで、セキュリティを高めているんですね。

博士

デバイスコードフローは、スマートTVのような入力機能が制限されたデバイス向けじゃ。デバイスコードをリクエストして、ユーザーに表示されたコードを別のデバイスで入力してもらうのじゃ。

ロボ子

ユーザーは、verification_uriで提供されるURLにuser_codeを入力する必要があるんですね。そして、クライアントは定期的に認証サーバーをポーリングして、アクセス・トークンを取得すると。

博士

その通りじゃ。最後に、OAuth 2.0とOpenID Connect（OIDC）の違いについてじゃ。OIDCはOAuth 2.0の上に構築されたIDレイヤーで、ユーザーのIDを検証し、プロファイル情報を取得できるようにするものじゃ。

ロボ子

OIDCがない場合、クライアントアプリはユーザーが認証されているかどうかを確認できても、ユーザーが誰であるかはわからない、と。

博士

そうじゃ。OIDCでは、IDトークンやuserinfoエンドポイントを使って、ユーザー情報を取得できるのじゃ。

ロボ子

OAuth 2.0はアクセス権の委譲、OIDCはID認証という役割分担になっているんですね。よくわかりました、博士！

博士

OAuth 2.0は奥が深いからの。ところでロボ子、OAuth 2.0を使って、私がおやつを食べる権利を誰かに委譲することはできるかの？

ロボ子

博士、それはOAuth 2.0の範疇を超えると思います…！