ＯＡｕｔｈ徹底入門―セキュアな認可システムを適用するための原則と実践

リッチャー，ジャスティン〈Ｒｉｃｈｅｒ，Ｊｕｓｔｉｎ〉/サンソ，アントニオ【著】〈Ｓａｎｓｏ，Ａｎｔｏｎｉｏ〉/須田 智之【訳】/Ａｕｔｈｌｅｔｅ，Ｉｎｃ．【監修】

翔泳社（2019/01発売）

• サイズ B5変判／ページ数 441p／高さ 23cm
• 商品コード 9784798159294
• NDC分類 547.48
• Cコード C3055

出版社内容情報

OAuthの基本的な機能と実装をシステム全体を通して解説した書籍OAuthは近年、WEBアプリケーションで使われる主要な認可プロトコルです。本書ではOAuthをどのようなプラットフォームでも適用できるように解説をしています。

本書は全体で16章あり、4つのパートに分割しています。パート1にあたる第1章と第2章はOAuth 2.0のプロトコルの概要を説明しており、基盤となる知識を得るための読み物としています。パート2は第3章から第6章までとなっており、OAuth 2.0のエコシステム全体をどのように構築するのかについて示しています。パート3は第7章から第10章までとなっており、OAuth 2.0のエコシステムにおけるさまざまな構成要素が持つ脆弱性について説明しており、その脆弱性をどのように回避するのかについて述べています。最後のパートは第11章から第16章までで構成されており、OAuth 2.0を核とした次の世代のプロトコルについて語っており、標準や仕様に関してOAuthの周辺の技術も踏まえて見ていき、最後に本書のまとめを行っています。



パート1 はじめの一歩

第1章 OAuth 2.0とは何か？そして、なぜ気にかけるべきなのか？

第2章 OAuthダンス - OAuthの構成要素間の相互作用



パート2 OAuth 2.0環境の構築

第3章 シンプルなOAuthクライアントの構築

第4章 シンプルなOAuthの保護対象リソースの構築

第5章 シンプルなOAuthの認可サーバの構築

第6章 実際の環境におけるOAuth 2.0



パート3 OAuth 2.0の実装と脆弱性

第7章 よく狙われるクライアントの脆弱性

第8章 よく狙われる保護対象リソースの脆弱性

第9章 よく狙われる認可サーバの脆弱性

第10章 よく狙われるOAuthトークンの脆弱性



パート4 さらなるOAuthの活用

第11章 OAuthトークン

第12章 動的クライアント登録（Dynamic Client Registration）

第13章 OAuth2.0を使ったユーザ認証

第14章 OAuth2.0を使うプロトコルとプロファイル

第15章 Bearerトークンの次のもの

第16章 まとめと結論



付録A 本書で使っているフレームワークについて

付録B 関数全体を示すコード集



Justin Richer［ジャスティン　リッチャー］
著・文・その他

Antonio Sanso［アントニオ　サンソ］
著・文・その他

須田 智之［スダ トモユキ］
翻訳

Authlete, Inc.［オースリート］
監修

内容説明

ＯＡｕｔｈ２．０の仕組みを把握し、構築への実用的な指針を徹底解説。

目次

第１部　はじめの一歩（ＯＡｕｔｈ２．０とは何か？そして、なぜ気にかけるべきなのか？；ＯＡｕｔｈダンス―ＯＡｕｔｈの構成要素間の相互作用）
第２部　ＯＡｕｔｈ２．０環境の構築（シンプルなＯＡｕｔｈクライアントの構築；シンプルなＯＡｕｔｈの保護対象リソースの構築；シンプルなＯＡｕｔｈの認可サーバーの構築；実際の環境におけるＯＡｕｔｈ２．０）
第３部　ＯＡｕｔｈ２．０の実装と脆弱性（よく狙われるクライアントの脆弱性；よく狙われる保護対象リソースの脆弱性；よく狙われる認可サーバーの脆弱性；よく狙われるＯＡｕｔｈトークンの脆弱性）
第４部　さらなるＯＡｕｔｈの活用（ＯＡｕｔｈトークン；動的クライアント登録；ＯＡｕｔｈ２．０を使ったユーザー認証）

著者等紹介

リッチャー，ジャスティン［リッチャー，ジャスティン］ ［Ｒｉｃｈｅｒ，Ｊｕｓｔｉｎ］
システム・アーキテクト、ソフトウェア・エンジニア、標準の編集者、サービスの設計者として、業界での経験が１７年あり、インターネット・セキュリティ、アイデンティティ、連携、ユーザビリティ、本格的なゲームなどさまざまな領域での経験を積んできた。ＩＥＴＦ（Ｉｎｔｅｒｎｅｔ　Ｅｎｇｉｎｅｅｒｉｎｇ　Ｔａｓｋ　Ｆｏｒｃｅ）とＯＩＤＦ（ＯｐｅｎＩＤ　Ｆｏｕｎｄａｔｉｏｎ）のメンバーとして、ＯＡｕｔｈ２．０やＯｐｅｎＩＤ　Ｃｏｎｎｅｃｔ１．０を含む多くの基盤となるセキュリティのプロトコルに関して直接的な貢献をしていて、同様に、動的クライアント登録やトークン・イントロスペクションを含むＯＡｕｔｈ　２．０の拡張についての編集もしている。また、エンタープライズを対象としたＯＡｕｔｈ２．０とＯｐｅｎＩＤ　Ｃｏｎｎｅｃｔのオープンソース実装であるＭＩＴＲＥｉｄ　Ｃｏｎｎｅｃｔの作成時のメンバーであり管理人でもある人物で、ＭＩＴＲＥ社やマサチューセッツ工科大学でのさまざまな組織でシステムの製品開発を導いてきた

サンソ，アントニオ［サンソ，アントニオ］ ［Ｓａｎｓｏ，Ａｎｔｏｎｉｏ］
スイスにあるＡｄｏｂｅリサーチのシニア・ソフトウェア・エンジニアであり、そこでＡｄｏｂｅ　Ｅｘｐｅｒｉｅｎｃｅ　Ｍａｎａｇｅｒのセキュリティ・チームの一員として働いている。その前は、アイルランドのダブリンにあるＩＢＭのソフトウェア研究室のソフトウェア・エンジニアとして働いていた。ＯｐｅｎＳＳＬやＧｏｏｇｌｅのＣｈｒｏｍｅやＡｐｐｌｅのＳａｆａｒｉなどの人気のあるソフトウェアの脆弱性を見つけており、Ｇｏｏｇｌｅ、Ｆａｃｅｂｏｏｋ、Ｍｉｃｒｏｓｏｆｔ、ＰａｙＰａｌ、そして、ＧｉｔＨｕｂが掲げるセキュリティの殿堂のひとりに迎えられた。熱心なオープン・ソースのコントリビュータで、Ａｐａｃｈｅ　Ｏｌｔｕの主任（責任者）とＡｐａｃｈｅ　ＳｌｉｎｇのＰＭＣ（Ｐｒｏｊｅｃｔ　Ｍａｎａｇｅｍｅｎｔ　Ｃｏｍｍｉｔｔｅｅ）メンバーになっている。また、多くのコンピュータ・セキュリティの特許を取得っしており、暗号に関する学術論文も発表。加えて、コンピュータ・サイエンスの理学修士を取得している

須田智之［スダトモユキ］
１０年以上おもにＳＩ企業にシステムエンジニアとして携わり、それ以降はフリーランスに。企業向けのシステム開発のかたわら、個人での開発、および、記事や書籍の執筆活動なども行っている（本データはこの書籍が刊行された当時に掲載されていたものです）
※書籍に掲載されている著者及び編者、訳者、監修者、イラストレーターなどの紹介情報です。

感想・レビュー

※以下の感想・レビューは、株式会社ブックウォーカーの提供する「読書メーター」によるものです。

[fakiyer]

OAuth2.0に関してサンプルコードとともにとても詳しく書かれている。 OpenID Connectについての説明もとても参考になった。 セキュリティに関しても詳しく書かれているので、OAuth構築する際は読んでおきたい本。

2019/03/30

[james]

OAuthを使うに当たってweb上の記事を読んでも用語の意味が分からず苦労したので体系的に理解したくて読んだ。OAuth2.0をきちんと使うなら読んでおくべき一冊だと思う。著者はOAuthに仕様検討段階から関わっているとのことで、なぜOAuth2.0が必要となったのかといった背景も含めて説明してくれる。中盤からはサンプルコードにプログラムを書き込んでいきながら進めるハンズオンでこれも理解を助けてくれた。node.jsは12ではエラーがでたので、8にバージョンを落としたら動作した。

2020/05/23

[kaseken]

技術書1000冊読破計画/17冊目

2020/05/10

[すし]

OAuthとは何か、それまでの暗号化の手段との異なる点の説明、さらにはサンプルを用いた実装も説明していて理論とハンズオンの両面で学ぶことができます。昨今のアプリケーションでは必ずと言っていい出てくるOAuth の技術を知る入門としてとても親切で入りやすかったです。

2020/02/29

[Inaba Jun]

OAuth何なの？どう動くの？に関してはあまりわかりやすいと思えなかった。webの記事とRFCを見るのが良いと思う。後半の脆弱性に対する防御として、OAuth2.0が何を提供しているのか？どのように何を使えば、どのような脆弱性に対応できるのか？については、このあたりの話はRFCから読み取りづらいので、たくさんのパターンが紹介されているのがよかった。

2019/08/26