はじめに
仕事柄 サービス間のSSO などの話をしている中で、認証と認可を区別していない方を見受けるのでまとめてみました。
認証と認可はセットに扱う事が多いので、混同しやすいのだと思います。
認証
誰(Identity) を確認することです。
一般的には、IDとパスワードを連想すると思います。
認可
利用権限を与えることです。
一般的には、電車の定期券などを考えてもらえば良いと思います。
定期券には利用権限があって、許可された範囲なら電車に乗ることが出来ます。
間違えやすいのは、許可単体では認証の仕組みが無い事が多いです。
拾った定期券でも電車に乗れてしまうという事です。
認証認可の仕組み
世の中には色々な認証や認可の仕組みがあります。
認証認可の中で一般的な仕組みをいくつか紹介します。
認証でよく使う仕組み
IDとパスワード
誰?を判断するための ID と、不正に利用させないため本人しか知り得ないはずの文字情報で判断します。
3要素認証
指紋などの生体情報を使用したり、スマホにショートメールを送信したり
IDとパスワード以外に、本人だと証明できる3つ目の物理的な情報を利用します。
SAML認証
認証サーバが発行するXML形式のマークアップ情報を使用した認証の仕組みです。
認証情報を複数サービスで利用することが可能で、SSO( シングルサインオン )を実現するために利用することが多いです。
認可でよく使う仕組み
OAuth
認可サーバが発行するアクセストークンと呼ばれる情報を持って認可状況を確認します。
サービスを跨いだ認可が可能で SSO と混同されやすい。
こちらは、「◯◯サービスに対して利用情報を公開して良いですか?」と確認させるための仕組み
まとめ
認証と認可は似て非なる物です。
混同してしまうと、機能外部分の作り込みが増えてしまうのでお気をつけ下さい。