nohdomi's blog

EC、ファッションのITサービス、TOCfEによる問題解決

OpenIDやユーザー認証についてのお勉強

12/17(火)、こんなイベント(↓)に参加してきました。

ユーザーとシステムを繋ぐ「認証」を知ろう! ~OpenID Connect~


参加した経緯

ずっと、IDやら認証に興味があったというわけではなく、また普段、コードを書く人でもありません。

ただ、急遽、担当するサービスの中に、一部で普及している某IDを使ってログインするという部分ができたため、「危険な箇所」「認証の仕組みとして不自由な部分」「本来、どうあるべき?」などを知る必要に迫られている、というのが本音です。


とはいえ個人情報を扱う仕事なので、普段からまったく興味がないわけでもなく、同じ主催者によるイベント(プライバシー・アイデンティティとサービス設計)にも今年の5/31(金)に参加しました。


こちらのイベントでは、そもそも、IDって何よ?というところからスタートしています。
実際、このイベントでは、実名って何?(戸籍?行政上のID?Googleアカウント?)っていうところから、参加者同士で話をしました。

これを書いてるわけ

今、この記事を書いてる理由は、普段、疎い部分なので、イベント後、何もしないと忘れてしまう。
だから、何から着手していいかわからない人(オレ)のために、参考にできる記事を集めておきたかったためです。明らかに十分ではないですが、今後の自分のためのメモとして。

IDや認証について、参考にされる資料は、そんなに多くないとのことなので、学習自体は、難しくない、との講師の方のお話もありました、ので、それを信じて、これをきっかけにしたいと思っています。


イベントについて

認証については、いろんな実装、設計があって、イベントでは、@tkudosさんから歴史的経緯含めた認証の仕組み、その後、@novさんから、OAuth認証を例に、乗っ取りの仕組み、実装についての説明がありました。


講演資料も公開されていますので、その内容に興味がある方はこちら。
12/17(火)に開催された「DevLOVE」の講演資料を公開しました OpenID Japan®



ちなみに、先ほど紹介した前回イベントの前に実装について予習しようと思って、以下の学習サイトを見て臨みました。

ツイッターでログインするWebサービスを作ろう (全14回) - プログラミングならドットインストール
FacebookでログインするWebサービスを作ろう (全15回) - プログラミングならドットインストール


普段実装しないので、あまり飲み込めませんでしたが、処理の手順をイメージできるくらいの効果はありました。(こういう図(↓)だけ見てもピンとこない)
http://image.slidesharecdn.com/connectintrodevlove-131217233026-phpapp02/95/slide-12-1024.jpg
http://image.slidesharecdn.com/connectintrodevlove-131217233026-phpapp02/95/slide-12-1024.jpg




イベントの終わりのほう、 ワールドカフェ 形式のダイアログでは、私同様、認証の仕組みや実装に疎い参加者もいて、「よくわからん」という感じられてる方も多かったです。でも、よくわからんとはいえ、こういうイベントに参加されているというのは、何かしら得たいものがあったということです。


全体の意見ではなく、あくまで私がいたテーブルの方の意見ですが、みなさんが何を知りたかったかというと、実装、あるべき、とかはとりあえず何でもよくて、結局、何がベストな選択なのか?特に、何が主流なのか?ということでした。(たぶん)
主流になれば、セキュリティは後から付いてくる、的な認識。
(どうあるべきかを考えないのは、よろしくないけど、個人的には、気分としてよくわかります)


紹介された資料やら

[紹介されていた団体]




[直近のイベント]

2014年1月14日(火)・15日(水) Japan Identity & Cloud Summit 2014


学術的な内容もあるそうですが、こんなん(↓)もあります。
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect

ご興味があれば、是非!




資料のリストを、も少し充実させて今後の学習にあたろうと思います。