skillup

技術ブログ

プログラミング全般

アクセストークンの分類について

投稿日:

認可情報を取得する際に、ID &パスワードではなく、アクセストークンで認証を行うサービスは多いと思うのですが、アクセストークンにも色々ありますので、再度まとめておこうと思います。

以前まとめたもの

Oauthについて

JWT(ジョット)の認証に関して

アクセストークンの分類について

アクセストークンといっても色々なタイプがあるようなのでここでまとめておこうと思います。

識別子型(ハンドル型)

アクセストークンですが、単純にDBの中に入っており、照合する使い捨ての文字列をハッシュ化したものですね。このパターンは多いと思うのですが、有効期限の短いパスワードみたいなものでしょうかね。

この場合、アクセストークンを認可サーバーとリソースサーバー両方に登録する必要が出てきます。

アクセストークン自体の有効期限は30分〜1時間程度になるため、運用方法を考えないとDBを圧迫することになりますが、認可サーバー(トークンを発行するサーバー)とリソースサーバー(個人情報が入っているサーバー)が同一のものであれば、こちらの方がセキュリティのレベルが高いため、こちらを使われることが多いかと思います。

内包型

認可サーバーとリソースサーバーが分離されている場合、認可サーバーで発行されたアクセストークンが正しいかどうかを検証するすべがありません。

この問題の解決手段としてアクセストークン自体に情報を埋め込んでしまおうという手法でJWT「JSON Web Token」という手段が用いられることがあり、これを複合化して、情報を受け取ります。

サンプルを作ったりして動かしたのですが、使い所自体がわかっていませんでした・・

確かに認可サーバーとリソースサーバーが分離している場合、トークン自体の整合を取ることができないので、トークン自体に情報を含まないとダメですね・・・

参考リンク

【連載】世界一わかりみの深いOAuth入門 〜 その2:アクセストークンとリフレッシュトークン 〜

OAuth アクセストークンの実装に関する考察

OAuth 2.0 におけるアクセストークン実装方法の検討

ここがわかりやすく・・というかそのまま勉強させてもらったので、リスペクトの意味をこめて貼っときます。

 

-プログラミング全般
-

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

コーディングルール 前半まとめ

リーダブルコードを3分の2ぐらいよんだので現時点でのまとめを。 Contents1 いいコードの定義2 具体的な手法2.1 変数の名称2.2 コード自体の見た目2.3 コメント2.4 制御フロー2.5 …

no image

データ構造の基礎知識 前編 メモリとポインタ、配列と連結リスト

WEB+DB(vol91)で使えそうな連載記事がありますのでブログにメモリます。 テーマはデータ構造です。 Contents1 データ構造とは?2 計算量3 プログラムとメモリ4 配列について4.1 …

no image

ExcelVBAに関して(主にプロシージャ)

いつも半年ごとぐらいに触っていてあまり知識が蓄積しないので(汗)これを機につまづいたところをちょっとメモ。 Contents1 基本2 メモ3 参考リンク 基本 基本的な変数の代入や条件分岐、ループな …

no image

CIことはじめ

業務でJavaのテキスト変換ツールを作成。 プログラムよりもCIツールを使って他人の環境下で正常に稼動させるためにどうするかの調査に時間かかりましたね。 今回やりたかったことは下記の通りです。いわゆる …

no image

正規表現に関して

SQLネタをいろいろと書いておりますが、ちょっとワンポイント的なネタで正規表現について書きたいと思います。 平均的なものは知っているつもりでしたが、シェルの正規表現について知らなかったのでちょっとメモ …

アーカイブ