OAuth：まずは最初の手順を知ろう！認可コードグラント

2023年10月4日 12:00

どうも、こんにちは！前回記事の続きです。ユーザに代わって、アプリが別サービスのAPIを利用できるようにする枠組み「OAuth」についてご紹介しています！

前回は、OAuth2.0の「認可フロー」の種類についてご紹介しました。認可フローとは、APIを利用するために必要な「アクセストークン」を取得する手順のことでしたね。4種類ありました。

今回から、その「認可フロー」の中でも、ネイティブアプリ（インストールして利用するアプリ）の主流である「認可コードグラント」についてご紹介することにします。この記事はその触りの部分です。

では、いってみよう！

認可コードグラントの登場人物は４つ

例によってシーケンス図を作って、「認可コードグラント」を解説していこうと思います。

登場人物は次の４つです。

この4者間でいろいろやりとりするのですが、「リソースサーバ」がないですね。なぜ？

というのも、「認可コードグラント」を含む認可フローは、「アクセストークンをいかにもらうか」が課題なので、「アクセストークン」をもらったあと、アプリがAPIとどうやりとりするのかはまた別の話です。ということで、リソースサーバは今は省略します。

では、順に見ていくことにしますが、今回は認可コードをもらうためのファーストステップのみの紹介です。

クライアントアプリが「認可リクエスト」を行います。ようするに「認可コード（引換券でしたね）をください！」とブラウザを通じて認可サーバにお願いをします。

認可サーバがブラウザを通じてユーザに「Aサービスから認可リクエストが来たよ。まずはあなたがBサービスにまずはログインしてね。」と認証を要求します。

すみません。今回はここでストップ。シーケンス図を作っていたら時間を消費してしまいまして。毎日投稿がモットーですのでお許しください。あとの記事で全体像はちゃんと示しますから。

ということで次回は認可コードグラントの手順の続きです！

では！