概要
「雰囲気で OAuth2.0 を使っているエンジニアが OAuth2.0 を整理して、手を動かしながら学べる本」を読みました。 感想を記述します。
感想
Auth 屋(@authyasan)さんが執筆している、OAuth、OIDC 関連の書籍の一冊目です。 OpenIDConnect は解説せず、続編の「OAuth、OAuth 認証、OpenID Connect の違いを整理して理解できる本」にて述べられています。 なので内容は OAuth(OAuth2.0)とは、OAuth に登場する用語、OAuth のグラントタイプ、チュートリアルとなっています。 100 ページほどで、簡潔にまとめられた内容で、非常にわかりやすかったです。 認可コードグラントのフローを逐次詳細な説明とチュートリアルがあったので、タイトル通り「雰囲気」だった部分を整理することができました。 また、インプリシットグラントの脆弱性について触れていたり、仕様につちえ RFC の出典も明記したりしていたのもよかったです。
過去に「OAuth 徹底入門」という書籍を読んだことがあるのですが、あちらは日本語訳が難しく、分厚い本だったので読み進めるのに苦しんだ記憶があります。 一方、この書籍は 100 ページなので、読み切りやすかったです。
最後のチュートリアルでは、認可コードグラント、認可コードグラント+PKCE、インプリシットグラントのフローを手を動かしながら学ぶことができます。 ローカルの環境構築が不要で、Google アカウントさえあれば、動作できるのが楽でよかったです。それまでに紹介されてた手順や用語を実際にブラウザとコマンドで確認できるのは、良い体験学習になり知識の定着につながったと考えます。 細かいですが、2 つ気になったことがあります。1 つめは最終更新から月日が経過しているので、チュートリアルで Google の認可サーバーの設定方法の手順が若干異なることです。続編の「OAuth、OAuth 認証、OpenID Connect の違いを整理して理解できる本」の方では、設定手順が現在の仕様に近いので、所有されている方は設定においてはそちらを参照したほうがいいと思います。2 つめは PDF がコマンドでもコピーしづらかったことです。結局手打ちすることになったので、コマンド類は Web ページや Github にあると助かりました。 しかし、それらを差し置いてもチュートリアルが全く進められなくなることはないので、十分におすすめできる内容となっています。
まとめ
まとめると、以下の内容になります。
- OAuth2.0 について、特徴、登場する用語、種類について 100 ページ程度で簡潔にまとめられた本
- 非常にわかりやすい
- チュートリアルで、実践的に OAuth のフローを学ぶことができる
特に初心者の方に非常におすすめできる内容です。 OAuth に興味があるけど何から手をつけたらいいかわからない方は是非この本を最初に読んでください。
