読者です 読者をやめる 読者になる 読者になる

オライリー OAuth 2.0

オライリー様から OAuth 2.0 本を献本頂きました。

O'Reilly Japan - OAuth 2.0をはじめよう http://www.oreilly.co.jp/books/9784873115580/

OAuth はあまり詳しくなく 1.0 と 2.0 の違いも 2.0 ではかなり簡単になったという話を聞いた程度だったのですが、 OAuth 2.0 の RFC が出ていて (OAuth 1.0 の RFC も出てましたが ... ) すこしはこっちも読んでおかないとなと思っていた矢先でした。

RFC 6749 - The OAuth 2.0 Authorization Framework http://tools.ietf.org/html/rfc6749 RFC 6750 - The OAuth 2.0 Authorization Framework http://tools.ietf.org/html/rfc6750

ページとしては 40 ページ前後。OAuth の必要性から始まって実際のサービスを使って使い方や概念を説明していきます。

大きく分けてクライアント側とサーバ側の説明です。ただし注意点として OAuth の認可サーバ(トークンを手に供する側)の話はほとんどありません。

よほどメジャーなサービスを提供していない限り OAuth サーバを提供することは無いでしょうし、もし提供する場合は RFC をがっつり読み込む方が無難です。

サーバサイド Web アプリ

PythonRuby などでサーバサイドを構築したときに、リソース取得アクセスできるようにする話が主です。基本的にはこれが多いのでは無いでしょうか。

クライアントサイド Web アプリ

JS から使う事が主に説明されています。JS からリソース取得を出来るようにする話が主です。 サーバサイドとは違いかなり何かしら制限されている状況で使うべきという話が書いてあります。

モバイルアプリ

バックエンドにサーバがいるかどうかでリソースへのアクセスが変わると思います。直接 GitHub にアクセスしたい場合と、一端サーバにアクセスしてそこで保持しているトークンを使う場合など、パターンがある事が書いてあります。

感想

認証や認可というかなり一般的では無い話をかなり短い中でも理解しやすいよう説明しています。さらに OAuth 2.0 の説明だけでは無く、サンプルソースコードも載っておりイメージもしやすいです。

ほとんどの開発者は OAuth を「使う」側だと思いますので、この本がぴったりです。 これから FacebookTwitter (まだ 1.0 系らしいです) などの提供しているリソースを使ったサービスは増え続けていくでしょう。そんなとき基本的な OAuth の仕組みを短い時間で理解できる良著です。

ちなみにこの本 ... epub だけでなく、Kindle で読める mobi にも対応していたりします。