雰囲気OAuthシリーズ第1弾！認可のプロトコルOAuth2.0の仕様を理解するための本です。
■ 対象読者
「ぜんぜんわからない。俺たちは雰囲気で OAuth をやっている。」
この本はそんなエンジニアを対象としています。
具体的には以下の質問に答えられないエンジニアです。

• スコープとは何ですか？
• 認可コードは何が行われた証ですか?
• Webアプリケーションではどのフローを使うべきですか？

■ この本を読むメリット
• OAuth2.0 に関わる概念を整理して理解できます
• 具体的なソフトウェアプロジェクトの構成要素を OAuth2.0 のロールにマッピングできるようになります
• 自分のソフトウェアプロジェクトで利用すべきフローを判断できるようになります
• 利用したい API の OAuth 関連資料や OAuth2.0 の標準仕様を読みこなすための地図が頭の中にできます

■ この本の特徴
• Google Photo API を使った画像編集アプリの例を頻繁に出すことで具体的にイメージしやすい説明を試みています
• Web の記事に比べると必要事項が網羅されているので、あちこち調べ回る必要はありません
• 専門的な本ほど詳細には立ち入らないので、スラスラ読めます
• curlとブラウザだけで実際にアクセストークンを取得する流れを手を動かしながら学べます
本の評判: https://togetter.com/li/1477483

認可のプロトコルであるOAuth2.0と認証の関係を理解するための本です。OpenID Connectの入門書でもあります。

■ 想定読者
以下のいずれかに当てはまるエンジニア
• OAuthと認証の関係を理解したい
• 「SNSアカウントでログイン」の仕組みを知りたい
• OpenID Connectを理解したい

■ この本を読むメリット
「OAuth は認可のプロトコルなのになぜ OAuth"認証"という言葉が使われているのか」
「OAuth 認証と『OAuth を認証に使えるように拡張した OpenID Connect』は何が違うのか」

この本はこの問に自信をもって答えられるようになります。
この本を読めば、以下のそれぞれでOAuth、OAuth認証、OpenID Connectのうち
何が使われているのかを理解できます。

• サードパーティアプリで Google Photo の画像をダウンロードする場合
• サードパーティアプリに Facebookアカウント でログインする場合
• サードパーティアプリに Googleアカウント でログインする場合
• サードパーティアプリに Googleアカウント でログインして Google Photo から画像をダウンロードする場合

■ この本の特徴
• OpenID Connectの流れをcurlとブラウザで手を動かしながら学べるチュートリアル付き
• 厳密性より、最もオーソドックスな一例を理解できることをめざしています
• 本文は100ページを超えていますが、図が多いのでサクサク読めます

本の評判: https://togetter.com/li/1477483

■ はじめに
本書は Auth 屋の「雰囲気 OAuth シリーズ」第三弾であり、OAuth と OpenID Connect への攻撃と対策についての本です。攻撃全般ではなく、攻撃対象として一番狙われる「リダイレクト 部分への攻撃」に特化した内容になっています。リダイレクト部分への攻撃の仕組 みと、state、nonce をはじめとした対策についての仕組みを理解すれば、雰囲気 OAuth使い を脱したと言えるでしょう。

■ 想定読者
• OAuth・OIDC について用語、概念、仕組みはだいたい理解してる(Auth 屋 の前著は読んだ!)
• state、nonce、PKCE、c_hash、at_hashは聞いたことはある。理解はして ない。
• クライアント、リライング・パーティとしてアプリを作るかもしれない

■ 本書の狙い
本書の狙いは、読者がこの本を読み終わった後「下記の攻撃を防ぐためにクライア ント、リライング・パーティとしてなすべきこと」を理解できていることです。

• 攻撃
  • クロスサイトリクエストフォージェリ • リプレイ攻撃
  • 認可コード横取り攻撃
  • コードインジェクション
  • トークンインジェクション
• 対策
  • state
  • nonce
  • PKCE
  • c_hash
  • at_hash

■ 本書の特徴
• OAuth・OIDC の各フローのやり取りを一つずつ追いながら解説することで、 容易に攻撃と対策の仕組みがわかる
• 攻撃と対策をビジュアルで理解できる
• 本文 100 ページ程度なので 1 日で読める

正しく理解しよう　パスワード認証に代わる新常識！

SNSのアカウントを使ってアプリへの登録・ログインを行う「ソーシャルログイン機能」は、ユーザーの利便性を向上させることにつながるため、今や当たり前といってもいい機能です。

ソーシャルログインはID連携とも呼ばれ、アプリ側ではSNSに代表されるIDプロバイダから「今、ログインしているのは誰か」というユーザーの属性情報（ID：アイデンティティ）を受け取り、登録・ログインに利用します。

その際、ユーザー認証はIDプロバイダが行うため、アプリ開発者が実装する必要はありません。2段階認証など、認証まわりのセキュリティは専門家であるIDプロバイダに任せ、アプリ開発者はIDの利用・管理に専念すればよいのです。

とはいえ、こうした機能を一から実装するのは困難であり、また、間違った実装によって脆弱性の原因となりうるリスクもあるため、専門のサービス（IDaaS：ID as a Service）を使うことが一般的です。特に、Google、GitHubといったIDプロバイダを通じたログイン機能を提供するFirebase Authenticationというサービスは、利用が比較的簡単であり、ソーシャルログインの理解にはうってつけだといえます。

本書では、Firebase Authenticationの利用を例に、「未登録」「仮登録」「本登録」「一時凍結」「退会」といったIDライフサイクルをもとに、ログインやリカバリーなど、ソーシャルログインまわりに必要な機能を洗い出し、実装していきます。本書を読めば、ライフサイクルをもとにしたソーシャルログインを正しく理解し、ID管理の原則を学ぶことができるはずです。

認証のプロを目指す若手の認証基盤担当や、アプリでログインまわりを作ることになった方など、ソーシャルログインをアプリに実装したいすべての方に向けた必読の一冊です。

◆目次◆
・Chapter 1：IDaaSを使ったソーシャルログイン
・Chapter 2：Firebase UIを用いたログイン画面の実装
・Chapter 3：ソーシャルログインを実現するには
・Chapter 4：ソーシャルログイン、本登録、仮登録
・Chapter 5：リカバリー
・Chapter 6：登録情報の変更、一時凍結・再有効化、退会
・Chapter 7：Firebase Auth単体での利用