OpenID Connect 認証 - OpenID Connect (OIDC) の使い方・オプション・サンプル

OpenID Connect 認証 - OpenID Connect (OIDC)

OAuth 2.0 の上に認証レイヤーを追加したプロトコル。ID トークンによりユーザーの本人確認ができる。

概念図

OpenID Connect (OIDC) diagram

実例

OIDC 認可リクエストの例

bash

GET /authorize?response_type=code&scope=openid profile&client_id=xxx&redirect_uri=...

OAuth 2.0 との違い

OAuth 2.0 は「認可」のみ -- リソースへのアクセス権を委譲する
OIDC は OAuth 2.0 + 「認証」-- ユーザーが誰であるかを確認する
OIDC では scope=openid を指定すると ID トークン（JWT 形式）が返される
ID トークンにはユーザーの識別情報（sub, email, name 等）が含まれる

関連トピック

OAuth 2.0- サードパーティにパスワードを渡さずにリソースへのアクセスを委譲する認可フレームワーク。 JWT（JSON Web Token）- JSON ベースのトークン形式。署名により改ざんを検知できるが、適切に運用しないとセキュリティリスクになる。 セッション管理- ユーザーの認証状態を維持する仕組み。セッション固定攻撃やセッションハイジャックへの対策が重要。