WebAPIの認証のバックアップ(No.3) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
技術
- OAuth
- OpenID Connect
- 証明書
- JWT
用例
- ベースクライアントセキュリティモデル的な認証
  - 認可を行う
  - 認証を行う
- サーバー信頼モデル的な認証
  - Googleの例
  - Twitterの例

概要 †

WebAPIの認証方式について纏めてみた。

技術 †

以下の様な技術が使われている。

OAuth †

OpenID Connect †

証明書 †

JWT †

用例 †

ベースクライアントセキュリティモデル的な認証 †

認可を行う †

OAuthダンスのOAuth 2.0 が主流である模様。

認証を行う †

OAuth 2.0 や OpenID Connectが使われる。

サーバー信頼モデル的な認証 †

Googleの例 †

以下を見ると、

C#とCoreTweet?を使って簡単にTwitterへツイートするbotを作る - 酢ろぐ！
http://blog.ch3cooh.jp/entry/20140808/1407464147
- Google Analytics API を使って前日の PV を取得するコードを C# で書いてみた - しばやん雑記
  http://blog.shibayan.jp/entry/20140803/1407059293

クライアント証明書（pfx形式の電子証明書）を使って、
サービスアカウントで認証する方法がある模様。

ちなみに、ここでは、

Google.Apis.Analytics Client Libraryにラップされていたため不明だったが、
以下を見ると、このClient Libraryの中では、JWTが使用されている模様。

IdM実験室: [JWT/OAuth]Service Accountを使ってGoogle APIを利用する
- http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api.html
- http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api_5.html

これが（個人的に探し求めていた）、

「OAuth 2.0 JWT Bearer Token Flow（JWT Bearer Token Profile）」

の用例である模様。

GoogleのOAuth 2.0実装からみえたClientの扱い - r-weblife
http://d.hatena.ne.jp/ritou/20121104/1352036133

Twitterの例 †

ココを見ると解るが、

[Consumer Key]
[Consumer Secret]
[Access Token]
[Access Token Secret]

が必要になる。

このため以下の様な方式になっているものと考える。

キーの名称から、内部はOAuth 1.0aで実装されている模様。

OAuth 2.0であれば、サーバー信頼モデルの場合、Client Credentialsグラント種別でイイと思うが、
OAuth 1.0aであるため？管理画面で、[Access Token]と[Access Token Secret]を取得している模様。

参考
- Twitter REST APIの使い方
  https://syncer.jp/Web/API/Twitter/REST_API/
- Twitter の OAuth 1.0 認証 – 解説。 | みむらの手記手帳
  http://mimumimu.net/blog/2011/11/26/twitter-%E3%81%AE-oauth-1-0-%E8%AA%8D%E8%A8%BC-%E8%A7%A3%E8%AA%AC%E3%80%82/

Tags: :プログラミング, :通信技術, :.NET開発, :.NET Core, :ASP.NET, :ASP.NET Web API