全1972文字
PR

情報はトークンで制御

 認証連携を実現する規格として、広く使われているのは、OAuthとOpenID Connectの2種類である。

 このうちOAuthは、TwitterなどのメジャーなSNSが提供したために、いち早く普及した。OAuthでは、トークンを使って認証連携の内容を制御する。

 例えば、「メールアドレスや誕生日の情報は渡してもいいが、友達の情報や投稿の内容は渡さないようにする」といった具合に、アクセスできる情報の制御をトークンを変えることで実現する。

 ただし、OAuthのトークンは、利用可能な情報の「認可」はするものの、相手の「認証」はできない。そのため、そのトークンを使ってアクセスしてきた相手が、本当に正しい相手かどうかは分からない。万が一トークンが漏洩して、全く違う相手がそれを使って情報を要求してきたとしても識別できない。

 そこで、OAuthの最新版である2.0を拡張し、トークンの中にアクセス情報を制御する情報だけでなく、相手を識別するためのIDも一緒に入れるようにしたのがOpenID Connectである。これにより、なりすましを検知できる。

サービス提供側にもメリット

 認証連携は、利用者だけではなく、サービス提供者にもメリットがある。

 名前やメールアドレス、住所などといった個人情報を含む利用者情報を新たに登録してもらうのはハードルが高く、新しいサービスを使ってもらうための大きな課題となっている。だが、そうした手間がなくなれば、気軽に利用してもらえる。

 認証連携には課題もある。例えば、認証を委任しているサービスにトラブルが発生すると、自社のサービスに問題がなくてもログインできなくなる。

 また、認証連携するサービスごとに、別々の仕組みを新たに組み込まなければならず、開発やメンテナンスの手間がかかる。そのため、連携できるサービスを主要なものに限っている場合が多い。

 とはいえ、自社だけで一から認証の仕組みを実装するのは容易ではない。IDやパスワードを自社で保管することも情報漏洩などの事件を引き起こす大きなリスクになる。そのため、今後も認証連携を利用するサービスが増える可能性は高いだろう。