メインコンテンツへスキップ
OAuth 2.0 をベースにユーザー認証や SSO をサービス間で実施する、いわゆる「OAuth 認証」を独自に実装することは、技術的には Authlete を用いて可能ですが、セキュリティを担保するためには様々な観点からの考慮が必要となり、推奨しません。 Authlete を用いて SSO や ID 連携機能を構築する場合には、OAuth 2.0 をベースに独自実装を行うのではなく、OpenID Connect のご利用をお勧めいたします。このプロトコルに準拠している認可サーバーは、アクセストークンに加えて、IDトークンを発行できるようになります。このIDトークンは、ユーザーを一意に識別するIDをもち、また、署名の仕組みを使って発行されたIDトークンが正規のものか検証することも可能です。

参考文献

単なる OAuth 2.0 を認証に使うと、車が通れるほどのでかいセキュリティー・ホールができる