Web API も知らない外国人に英語で OAuth を説明してきた話

API World ブース出展

2019 年 10 月 8 〜 10 日、米国カリフォルニア州のサンノゼで API World というイベントが開催されました。我が社 Authlete, Inc. は、当イベントにブースを出しました。

ブースを訪れる人達の知識レベルは様々です。相手に合わせて話す内容を調整する必要があります。私が応対する場合、説明は次のように切り出します。

"We provide an implementation of OAuth 2.0 and OpenID Connect in a unique way." （私達は OAuth 2.0 と OpenID Connect の実装をユニークな方法で提供しています。）

ここで、多くの人は

"How unique?" （どんな風にユニークなの？）

と食いついてきます。しかし、中には「？？？」という顔をしている人もいるので、そういうときは、

"Do you know OAuth?" （OAuth はご存知ですか？）

と尋ねます。ここで「聞いたことある」という返答だった場合、

"OAuth is a mechanism to protect Web APIs." （OAuth は Web API を守るための仕組みです。）

という感じで説明を続けます。

OAuth なんて聞いたことない

OAuth という単語を聞いたこともない人も稀にいます。そういうときは、次の質問をします。

"Do you know Web API?" （Web API は知ってます？）

ここで「Web API は知ってるよ！」という反応であれば、「OAuth は Web API を守る仕組みです」という感じで話を繋げていきます。ですが、もしここで首を傾げていれば、

"For example, Facebook API, Google Maps API, Twitter API, ..." （例えば Facebook API とか Google Maps API、Twitter API など）

と補足します。すると、「あぁ、知ってるよ！」という反応になります。

Web API も知らない

ここまできて、「知らないです...」という返答をする人達がいました。若い女子二人組です。思わず、

"Why did you come to this event, 'API' World?" （なんでこの、API World というイベントに来たの？）

と尋ねてしまいましたよ。（笑

話を聞いてみると、いろいろ勉強するためにイベントに来たとのことでした。

API World に来たのに API が何たるかも知らないのも可哀想だと思い、Authlete のビジネスには何の益も無いですが、丁寧に説明してあげることにしました。

Web API から OAuth に至るまでの説明

私："Do you know Facebook?" （Facebook って知ってます？）
彼女達："Yes!" （はい！） （以降、似たような反応が続くので省略）
^{内心：（良かった。Facebook は知ってた。）}

"When a human uses Facebook, she logins Facebook and uses it interactively." （人間が Facebook を使うときは、Facebook にログインしてインタラクティブに使います。）

"When a computer program wants to use Facebook, however, it cannot login it and use it interactively." （コンピュータープログラムが Facebook を使いたいときは、だけど、ログインしてインタラクティブに使うことはできないんです。）
^{内心：（スクレイピングの場合はコンピュータープログラムがログインするんだけど、話がややこしくなるからスクレイピングについては一切触れないでおこう。あと、クライアントアプリケーションという用語は彼女達にとっては難しいだろうから、コンピュータープログラムという用語を使おう。）}

"To enable computer programs to use Facebook, Facebook prepares 'Web APIs'. A 'Web API' is a kind of gate through which computer programs communicate with Facebook." （コンピュータープログラムが Facebook を使えるようにするため、Facebook は Web API を用意します。Web API は、一種の門のようなもので、それを通じてコンピュータープログラムは Facebook とやりとりします。）

"OAuth is a mechanism to protect Web APIs." （OAuth は Web API を守るための仕組みなんです。）

"In the best practice, when a computer program accesses a Web API, it brings a ticket, which represents permissions to use the Web API." （ベストプラクティスでは、コンピュータープログラムは Web API にアクセスする際、チケットを持っていきます。そのチケットは Web API にアクセスするための許可を表すものです。）
^{内心：（アクセストークンという用語を使わず、分かりやすくチケットと表現しておこう。）}

"The Web API checks whether the ticket is valid. Only when the ticket is valid, the Web API responds with a valid response." （Web API はチケットが有効かどうかをチェックします。有効な場合のみ、有効な応答をします。）

"For this mechanism to work, there must exist a system that issues tickets." （この仕組みが動くためには、チケットを発行するシステムが存在しないといけません。）
^{内心：（サーバーという用語を避け、システムという用語を使おう。）}

"And, the system is called 'Authorization Server'." （そして、そのシステムは認可サーバーと呼ばれます。）

"OAuth is a must keyword in API World. Google it for further details." （OAuth は API World では必須のキーワードです。詳細は Google で調べてね。）

彼女達は「すごく勉強になりました！ありがとうございました！」と喜んで、下の図が印刷されたクリアファイル（Authlete 社ブースの景品）を「教材として！」と言って持って行きました。

しかしながら、彼女達がこの図の全貌を理解するのはいつの日になるだろうか・・・

さらなる英語での解説

イベント最終日は、弊社工藤が『Authorization Architecture Patterns: How to Avoid Pitfalls in OAuth/OIDC Deployment』というタイトルで発表をおこないました。

英語でマニアックな話をしている工藤さん

工藤さんのプレゼンを聴く皆様。写真を撮る人もちらほら

発表資料は SlideShare で公開してありますので、是非ご参照ください！

IIW (Internet Identity Workshop)

そういえば、API World の一週間前、Mountain View で開催された IIW (Internet Identity Workshop) で、勢い余って私も『Financial-grade API and CIBA』というタイトルでセッションを開いたのでした。公式の議事録は崎村さんにとっていただきました。セッションで用いた資料は SpeakerDeck で公開してあります。

イベントの様子は ken5scal さんのブログ記事をご参照ください！

• Internet Identity Workshop（Fall 2019）に初めて参加してきた話 (by ken5scal)

IIW 会場で Authlete パーカーを着て Justin と記念写真

おわりに

彼女達への説明の手順は、英語圏で人気のブログ記事 "The Simplest Guide to OAuth 2.0"（『一番分かりやすい OAuth の説明』の英訳版）とほぼ同じです。日本語よりも英語が得意なチームメンバーがいて、OAuth を知らない場合は、"The Simplest Guide to OAuth 2.0" を紹介してあげてください！