認証/認可の仕組み

認証と認可の定義

認証とは、APIにアクセスするユーザーやアプリケーションの身元を確認するプロセスである。つまり、「アクセスしようとする主体が本人であることを確認する」ということ^{1 2 3}。

認可とは、認証済みのユーザーやアプリケーションが、特定のAPIリソースへのアクセス権限を持っているかを判断するプロセス^{1 2}。

主な認証/認可仕組み

1. HTTP Basic Authentication⁴:
   • 認証の仕組みで認可の仕組みは含まない
   • ユーザー名とパスワードをBase64エンコードし、HTTPリクエストヘッダーに含める方式^{3 4}
   • 実装は容易だが、セキュリティレベルが低く、必ずHTTPSとの併用が必要^{3 5}
2. APIキー認証⁵:
   • 認証の仕組みで認可の仕組みは含まない
   • 各ユーザーに固有のAPIキーを発行し、リクエストに含めて認証する方式³
   • キーへの有効期限設定によるセキュリティ強化が可能³
3. OAuth（Open Authorization） 2.0⁶:
   • 認可の仕組みであり、場合によって認証のフローも含む
   • サードパーティアプリケーションが、ユーザーの代理としてAPIにアクセスするための権限を取得するための標準プロトコル³
   • ユーザーが明示的にリソースアクセス権限を付与でき、高い安全性を実現可能³

認証/認可の基本フロー

1. クライアントによるAPIの呼び出し、アクセストークン（Authorizationヘッダーなど）の提示¹
2. リソースサーバー（API）によるアクセストークンの検証¹
3. トークン検証結果に基づくバックエンドAPIリソースへのアクセス許可¹

セキュリティの考慮事項

• 認証と認可の強化のため、TLSによるAPIアクセスの保護、認証・認可用資格情報やトークンの適切な保護が必要¹
• APIキー認証採用時は、キー漏洩リスク対策としてのHTTPSによる通信暗号化が不可欠³

適切な認証/認可メカニズムの実装による不正アクセスの防止、データとリソースのセキュリティ確保が可能である。

参照

^{1 2 3 4 5 6}

1. https://learn.microsoft.com/ja-jp/azure/api-management/authentication-authorization-overview ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷

2. https://developers.google.com/workspace/guides/auth-overview?hl=ja ↩ ↩² ↩³

3. https://qiita.com/MaSi1031/items/1b1a3258f119a5d43045 ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷ ↩⁸ ↩⁹

4. HTTP Basic Authenticationの概要と仕組み ↩ ↩² ↩³

5. HTTPSの概要と仕組み ↩ ↩² ↩³

6. OAuthの概要と仕組み ↩ ↩²