【ITニュース解説】Navigating OAuth 2.0 for System Design Interviews
2025年09月08日に「Dev.to」が公開したITニュース「Navigating OAuth 2.0 for System Design Interviews」について初心者にもわかりやすく解説しています。
ITニュース概要
OAuth 2.0は、ユーザーのパスワードを共有せず、アプリが特定リソースへ安全にアクセスするための「認可」の仕組み。「Googleでログイン」などで利用され、アクセストークンで権限を委譲する。セキュアなAPI設計の基礎であり、技術面接でも問われる。
ITニュース解説
現代のアプリケーション開発において、セキュリティは極めて重要な要素であり、その中心的な技術の一つにOAuth 2.0がある。これは、あるサービスがユーザーの許可を得て、別のサービス上にあるユーザーのデータに安全にアクセスするための「認可」の仕組みを定めた標準的なプロトコルである。例えば、ある写真編集アプリが、ユーザーのGoogleフォトに保存されている写真にアクセスしたい場合を考える。このとき、ユーザーが写真編集アプリにGoogleアカウントのパスワードを直接教えるのは非常に危険である。OAuth 2.0は、このようなパスワードの共有をすることなく、限定的なアクセス権限のみを安全に委任する方法を提供する。
OAuth 2.0の仕組みを理解するためには、まず主要な登場人物を把握する必要がある。一つ目は「リソースオーナー」で、これは保護されたデータやリソースの所有者、つまりユーザー本人である。二つ目は「クライアント」で、これはリソースへのアクセスを要求するアプリケーションを指す。先の例では写真編集アプリがこれにあたる。三つ目は「認可サーバー」で、リソースオーナーの同意に基づき、クライアントに対してアクセス許可の証明となる「アクセストークン」を発行する役割を持つ。Googleの認証システムなどがこれに該当する。そして四つ目が「リソースサーバー」で、保護されたリソースを実際に保管しているサーバーであり、アクセストークンを検証してリソースへのアクセスを許可する。GoogleフォトのAPIサーバーなどがその例である。
この仕組みの中心となるのが「アクセストークン」と「リフレッシュトークン」である。アクセストークンは、クライアントがリソースサーバーにアクセスする際に提示する、有効期限の短い鍵のようなものである。有効期限を短く設定することで、万が一漏洩した場合のリスクを低減できる。一方、リフレッシュトークンは、アクセストークンの有効期限が切れた際に、新しいアクセストークンを再取得するために使用される、より有効期限の長い鍵である。これにより、ユーザーは頻繁に再ログインを求められることなく、アプリケーションを継続して利用できる。
OAuth 2.0には、アプリケーションの特性に応じていくつかの権限付与のフロー(グラントタイプ)が定義されているが、最も代表的で安全なものが「認可コードグラント」である。これは主にサーバーサイドで動作するWebアプリケーションで利用される。このフローの具体的な流れは次のようになる。まず、ユーザーがクライアントアプリ上で「Googleでログイン」のようなボタンをクリックすると、アプリはユーザーを認可サーバーのページにリダイレクトさせる。ユーザーはそこでログインし、アプリが要求している権限(スコープ)を確認してアクセスを許可する。すると、認可サーバーは一時的な「認可コード」を発行し、ユーザーをクライアントアプリにリダイレクトで戻す。このとき、認可コードはURLのパラメータとして渡される。次に、クライアントアプリのバックエンドサーバーが、受け取った認可コードを使って認可サーバーと直接通信し、本物のアクセストークンとリフレッシュトークンを取得する。このサーバー間の通信はユーザーのブラウザを介さないため安全性が高い。最後に、クライアントアプリはこのアクセストークンを使ってリソースサーバーにアクセスし、目的のデータを取得する。
この他にも、サーバーを持たないシングルページアプリケーション(SPA)やモバイルアプリで使われていた「インプリシットグラント」があるが、セキュリティ上の脆弱性から現在は非推奨となっている。代わりに、モバイルアプリなどでは認可コードグラントに「PKCE (Proof Key for Code Exchange)」というセキュリティ機構を追加した方式が推奨される。これは、認可コードが第三者に傍受されても悪用されるのを防ぐための仕組みである。また、ユーザーが介在しないサーバー間の通信では「クライアントクレデンシャルグラント」が用いられる。
OAuth 2.0を設計・実装する際には、セキュリティへの配慮が不可欠である。通信はすべてHTTPSで暗号化し、トークン、特に有効期間の長いリフレッシュトークンは安全な場所に保管する必要がある。また、「スコープ」を適切に設定し、アプリケーションが必要とする最小限の権限のみを要求することが重要である。例えば、プロフィール情報を読み取るだけであれば、「ファイルの書き込み」のような強力な権限を要求すべきではない。
ここで注意すべき点は、OAuth 2.0は「認可」のためのプロトコルであり、「認証」そのものではないということである。認証とは「利用者が誰であるかを確認する」ことであり、認可は「利用者が何をしてよいかを許可する」ことである。この認証機能を提供するために、OAuth 2.0を基盤として拡張した「OpenID Connect (OIDC)」というプロトコルが存在する。「Googleでログイン」機能の多くは、このOIDCを利用してユーザーの身元情報を安全に取得している。
このように、OAuth 2.0はGoogle、GitHub、Slack、Spotifyといった数多くのWebサービスで、サードパーティ製アプリケーションとの安全な連携を実現するために広く利用されている。この技術を正しく理解することは、セキュアなAPIやマイクロサービスを設計する上で不可欠であり、現代のシステムエンジニアにとって必須の知識となっている。