HOME»情報処理安全確保支援士掲示板»OAuthとOIDCの違い
投稿する
OAuth2.0とOpenID Connectについてはいろいろ情報が錯綜しており、ネットでも正しい
情報を得るのが非常に困難です。ですので、以下は基本的な内容になります。
OAuth2.0は認証機能はありません。
OAuth2.0の認可フローを疑似的に認証のように使うことができますが、これはOAuth2.0の
設計からはずれたイレギュラーな扱いになります。また、この認証には通常の認証機能と
比べて脆弱性があるので利用してはいけないです。
OpenID ConnectはOAuth2.0の認可フローを改良し、認証にも利用できるようにしたものです。
基本的な考え方として、
・OpenID Connect:認証に使われる(認証がメイン)、併せて認可も可能
・OAuth2.0:認可に使われる(認可がメイン)、認証機能はない
でよいかと思われます。
»[1363] 令和2年午後1問2設問2(3)、設問3 投稿数:9
»[1362] 午後問題はいんさつした方がいいか 投稿数:6
[1365] OAuthとOIDCの違い
taさん(No.1)
OAuthとOIDCの違いが分かりません。
結局どっちも認証と認可を行っているのに、「認証機能を持たないOAuthに、認証機能を持たせた拡張仕様がOIDC」と言われている意味が分かりません。
結局どっちも認証と認可を行っているのに、「認証機能を持たないOAuthに、認証機能を持たせた拡張仕様がOIDC」と言われている意味が分かりません。
2024.02.20 13:18
pixさん(No.2)
★SC ダイヤモンドマイスター
>結局どっちも認証と認可を行っているのに、「認証機能を持たないOAuthに、認証機能を
>持たせた拡張仕様がOIDC」と言われている意味が分かりません。
OAuth2.0とOpenID Connectについてはいろいろ情報が錯綜しており、ネットでも正しい
情報を得るのが非常に困難です。ですので、以下は基本的な内容になります。
OAuth2.0は認証機能はありません。
OAuth2.0の認可フローを疑似的に認証のように使うことができますが、これはOAuth2.0の
設計からはずれたイレギュラーな扱いになります。また、この認証には通常の認証機能と
比べて脆弱性があるので利用してはいけないです。
OpenID ConnectはOAuth2.0の認可フローを改良し、認証にも利用できるようにしたものです。
基本的な考え方として、
・OpenID Connect:認証に使われる(認証がメイン)、併せて認可も可能
・OAuth2.0:認可に使われる(認可がメイン)、認証機能はない
でよいかと思われます。
2024.02.20 15:36
taさん(No.3)
ご回答ありがとうございます。
2024.02.21 01:29
その他のスレッド
»[1364] H29年秋午後Ⅰ問3設問2(3) 投稿数:3»[1363] 令和2年午後1問2設問2(3)、設問3 投稿数:9
»[1362] 午後問題はいんさつした方がいいか 投稿数:6