かきとちゅうです
私が OAuth 2.0 という単語を知ったのが 2016 年ごろなのですが、当時何から手をつけていいのかわからずひたすら以下の資料を読んでいた記憶があります。(なぜか翻訳版がすでにあったはずなのに気づかなかったのか英語版を読んでいました)
- RFC 6749 The OAuth 2.0 Authorization Framework
- OpenID Connect Core 1.0
今思えばこれはこれで良い経験ではありましたが、純粋に今一からこのあたりを学ぶとして、段階的に何をおすすめしたいか?について考えてみました。
- 【電子版】雰囲気でOAuth2.0を使っているエンジニアがOAuth2.0を整理して、手を動かしながら学べる本
- OAuth 2.0 全フローの図解と動画
- RFC 6749 The OAuth 2.0 Authorization Framework
- OAuth 2.0 Playground
- OAuth徹底入門 セキュアな認可システムを適用するための原則と実践
- 認可サーバー作りたい、だったら OAuth 2.0 の流れだいたいわかった段階で読んでもいいと思う
- 難易度というよりもボリュームゆえここに記載している
- OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編
- OIDC も勉強する予定があるなら OIDC ざっくり理解してからでもよいかも
- 関連仕様
- 仕様一覧の参考にした記事
- Bearer Token Usage (RFC 6750)
- OAuth 2.0 Threat Model and Security Considerations(RFC 6819)
- OAuth 2.0 Token Revocation
- OAuth 2.0 Token Introspection
- PKCE
- とりあえずこのあたりな気がする
- ほかに早いタイミングでよんどいたほうがよいやつがあればおしえてください
- よむので
- ほかに早いタイミングでよんどいたほうがよいやつがあればおしえてください
- 関連仕様はまだまだいっぱいある
- フィードに登録して普段眺めてるブログなど
- 策定中の仕様ガンガン追いかける、とかは自分がやってないので何を追えばいいのかよくわからん
- Authlete社の勉強会
- かなり噛み砕いて教えてくれるので各フローなんとなく理解してれば追えると思う
- spec
- OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編
- OIDC も勉強する予定があるなら OIDC ざっくり理解してからでもよいかも
- 関連仕様
- JWTとか
- TODO
かきとちゅう