こんにちは。開発本部のエンジニアの鶴です。 今回は先月に行った社内の勉強会TechLunchの内容をご紹介させていただきます。

イントロ

Webサービスでは、ユーザーにアカウントを作ってもらい、ログインをしてサービスを利用してもらう、というユーザー認証を利用するサービスも多いかと思います。 Webサービスを開発する側としては、サービスごとに都度ユーザー認証の仕組みを構築する必要がありますが、セキュリティ対策の観点から考慮することが多く、地味に開発の工数がかかってしまいます。

また最近では、Amazon CognitoやFirebase Authentication、Auth0など、ユーザー認証サービスがいくつかリリースされ、ユーザー認証の機能をこれらの外部サービスに任せて開発の手間を省くという選択肢も取れるようになってきています。 自分自身、かつて担当したプロジェクトでユーザー認証の仕組みをAmazon Cognitoにまかせてシステムを構築したことがありました。

しかし、当時は特にユーザープールの機能がリリースされて間もないこともあり、SDKの動作やサービスの仕様の理解にかなり手間取ったことを覚えています。

ユーザー認証サービスではOpenID Connectという仕様に準拠していることが多いのですが、おそらく自分にとってこの仕様の理解が疎かだったことが原因の一つだったと思います。

そこで今回は、ユーザー認証とOpenID Connectの仕組みについて改めて勉強し直したので、その内容を簡単に解説をさせていただこうと思います。

ユーザー認証とは

ユーザー認証の前に、そもそも認証とはどういう操作のことを指すのでしょうか。 みんな大好きWikipedia先生によると、以下のような記載があります。

認証（にんしょう）とは、何かによって、対象の正当性を確認する行為を指す。 認証行為は認証対象よって分類され、認証対象が人間である場合には相手認証（本人認証）、メッセージである場合にはメッセージ認証、時刻の場合には時刻認証と呼ぶ。 単に認証と言った場合には相手認証を指す場合が多い。

ユーザー認証はWebサービスにとってリクエストを送信してきた相手の正当性を認証することなので、相手認証の1つですね。 さらに相手認証の認証方法として2通りの方法があります。

第1の方法は、被認証者が認証者に、秘密鍵をもっていることによって得られる何らかの能力の証明を行う方法である。第2の方法は、被認証者が認証者に、被認証者の公開鍵に対応する秘密鍵の知識の証明を行う方法である。

ユーザー認証の場合、多くはこの第1の方法での認証で、ログイン時にユーザーIDに加えて、この「秘密鍵」としてアカウント作成時に登録しておいたパスワードを入力することでユーザー認証を行っているかと思います。

Webサービスでのユーザー認証

Webサービスで扱う情報の秘匿性が高くなればなるほど、この「秘密鍵」が本当にそのユーザーにしか提供できない情報であることが求められます。

上述のようなパスワードによる認証の場合、パスワードが推測されるなどして悪意のある第三者にアカウントが乗っ取られてしまう事件はよく耳にします。

よりセキュリティを高めるため、パスワード以外の認証や多要素認証などを用いる事が増えてきました。

また、セキュリティの観点だけでなく利便性の観点からも、パスワード入力の代わりに指紋認証や顔認証によるログインや、あるいは各種SNSアカウントによるログインも増えてきています。自社の複数のサービスを連携できるようユーザーに共通IDを提供したい、といったケースもあるかもしれません。

最近ではパスワードレス認証やWebAuthnも注目されていますね。今回は紹介は割愛しますが、パスワードレス認証の一つであるFIDO認証は、前述の「被認証者が認証者に、被認証者の公開鍵に対応する秘密鍵の知識の証明を行う方法」を利用した認証方式のようです。（ref1, ref2）

このように、セキュリティの観点やユーザー利便性の観点などにより、Webサービスにおけるユーザー認証機能は1回作ったら終わりではなく、時流に応じて適宜改修する必要が出てくることもあるかと思います。

しかし、特にユーザー認証がメインのサービスと密結合している場合などでは、認証の前後など認証処理そのものだけでなくその周辺の処理への影響範囲も無視できない場合もあり、ユーザー認証の改修に工数が思ったよりかかってしまったり、対応が滞ってしまうこともあるかもしれません。

そんなとき、認証サービスをメインのサービスと切り離すことでより柔軟なユーザー認証手段を提供できるよう、OpenID Connectの導入を検討してみても良いかもしれません。

OpenID Connectとは

OpenID Connect(以降、OIDC)について、本家サイトでは以下のように説明されています。

OpenID Connect 1.0 は, OAuth 2.0 プロトコルの上にシンプルなアイデンティティレイヤーを付与したものである. このプロトコルは Client が Authorization Server の認証結果に基づいて End-User のアイデンティティを検証可能にする. また同時に End-User の必要最低限のプロフィール情報を, 相互運用可能かつ RESTful な形で取得することも可能にする.

この仕様は, OpenID Connect の主要な機能である OAuth 2.0 上で End-User の情報伝達のためにクレームを用いる認証機能を定義する. この仕様はまた, OpenID Connect を利用するための Security, Privacy Considerations を説明する.

（日本語, 英語）

個人的には、メインのサービスと認証サービスを切り離して運用することを想定して仕様が規定されている点が重要と考えます。 OIDCを利用することで、ユーザー認証をより柔軟に改修したり新しい認証方法に対応したりすることがしやすくなることが期待されるからです。

なお、OIDCの仕様には認証手段自体（パスワード認証や多要素認証など）に関しては規定されておらず、あくまで認証サービスによる認証結果の取得方法や扱い方についてが規定されています。

また、様々なユースケースに対応できるよういくつかの処理フローやオプショナルな設定が提供されていますが、その反面セキュリティの確保は実装者に委ねられており、ユースケースに応じて適切な実装を行う必要があります。

前述したユーザー認証サービスであるAmazon CognitoやFirebaseAuthenticationなどは、認証手段が標準でいくつか提供されており、加えてバックエンドとSDKにOIDC固有のセキュアな実装が施されてあるため、開発者は最小限の設定だけでユーザー認証機能が利用できるようになります。便利ですね。

処理フローの解説

さて、OIDCの具体的な処理について解説していこうと思います。

まず登場人物です。

• OpenID Provider（OP）：認証認可を行うサービス。ユーザー認証情報（識別子やパスワードなど）を管理したり、認証に関するユーザー属性情報（氏名やユーザー名など）を保持する。
• RelyingParty（RP）： アクセス元のユーザーの認証とユーザー属性情報を要求するサービス。ユーザーからのリクエストに対しOPによる認証結果を信頼（rely）してリソースへのアクセスを許可する（例えばマイページを表示するなど）。
• EndUser：ログインをしてサービスを利用しようとしているユーザー。

基本的な用語も先に簡単に紹介しておきます。

• クライアントID：OpenID Providerで管理する、RelyingPartyの識別情報。
• クライアントシークレット：OpenID ProviderがRelyingPartyごとに発行する秘密鍵。
• 認証コード：後述するAuthorizationCodeFlowでOpenID Providerが発行する短命のパスワードのようなもの。
• IDトークン：OpenID Providerから発行される、ユーザーによる認証を行った証明情報。JSON Web Token(JWT)で表現され、検証により改ざん検知することができる。認証の内容（OpenID Provider、ユーザー識別子、RelyingPartyのクライアントID、有効期限など）やユーザー属性情報が格納される。
• アクセストークン:OpenID Providerが保持するユーザー属性情報に対しアクセスするためのOAuth2の認可トークン。

OIDCの処理フローは大きく分けて3種類が規定されています。

• AuthorizationCodeFlow：認証成功時にOpenID ProviderがRelyingPartyに対し認証コードを発行し、RelyingPartyはこれを用いてOpenID ProviderからIDトークン等を取得する。RelyingPartyがサーバーサイドアプリケーションで、OpenID Providerから発行されるクライアントシークレットを安全に管理することができる場合などに用いられる。
• ImplicitFlow：認証コードを使わず認証結果のレスポンスでIDトークン等を取得する。RelyingPartyがクライアントアプリケーションの場合など、クライアントシークレットが安全に管理できない場合などに用いられる。
• HybridFlow：AuthorizationCodeFlowとImplicitFlowの組み合わせ。

これらのフローの違いは以下の表のとおりです。

（公式より引用）

今回は、公式やこちらの解説記事などを参照しながら、基本の処理フローであるAuthorizationCodeFlowについて解説します。

簡略化のため、イメージ重視で登場人物は「ユーザー」「（ユーザーにサービスを提供する）Webサービス」「認証サービス」と表現することにします。

大まかには以下のステップで処理が行われます。

1. ユーザーからのアクセスに対し、Webサービスは認証サービスにユーザー認証を要求する
2. 認証サービスはユーザー認証を行い、認証コードを発行して、ユーザーをWebサービスにリダイレクトさせる
3. Webサービスは2で取得した認証コードを用いて認証サービスにIDトークン等をリクエストする
4. Webサービスは3で取得したIDトークンを検証し、ユーザーの識別子を取得する

Step.0 : 事前準備

あらかじめWebサービスは認証サービスからクライアントIDとクライアントシークレットを取得し保持しておきます。

Step.1: ユーザー認証の要求

ユーザーがWebサービスに対し一般的なログインの流れでログインを要求すると、Webサービスは認証サービスにリクエストをリダイレクトします。

Webサービスから認証サービスへのリダイレクトのURLは以下のような感じです。

HTTP/1.1 302 Found
Location: https://server.example.com/authorize?
   response_type=code
   &client_id=s6BhdRkqt3
   &redirect_uri=https%3A%2F%2Fclient.example.org%2Fcb
   &scope=openid%20profile
   &state=af0ifjsldkj

response_type でOIDCのどの認証フローを使うかを指定します。

redirect_uri は、認証サービスでの認証が成功したときのWebサービスにコールバックするURLです。これは事前に認証サービスに登録しておく必要があります。

scopeには認証の内容を設定します。openidは必須で、他にはOAuth2のアクセストークンを使って取得できるユーザー属性情報を指定します。

scopeで指定できるユーザー属性情報は以下のとおりです。

（公式より引用）

ユーザーの認証でよく使われそうな「氏名」や「メールアドレス」など基本的な属性情報が定義されています。

state はCSRF対策などのためのランダム値です。認証フローを開始するたびにWebサービスが発行し、リクエストとコールバックの間で値が維持されます。

他にもいくつかのパラメータ（nonce など）が定義されており、必要に応じて利用します。

Step.2: ユーザー認証と認証コードの発行

認証サービスでは認証手段に応じてログインID・パスワードの入力フォームなどを表示し、ユーザーから認証情報を取得して認証処理を行います。

認証サービスはユーザーの認証に成功すると、認証コードを発行し、ユーザーをWebサービスにリダイレクトさせます。

HTTP/1.1 302 Found
Location: https://client.example.org/cb?
   code=SplxlOBeZQQYbYS6WxSbIA
   &state=af0ifjsldkj

リダイレクト先について、認証サービスはStep.1で受け取った redirect_url を認証サービスに予め登録されているURLと合致することを検証する必要があります。Webサービスのなりすましを防ぐためです。

またWebサービス側で認証サービスからのレスポンスであることを確認できるよう、state もパラメータに含めます。

なお、認証に失敗した場合は下記のように認証エラーした内容をパラメーターに加えてWebサービスにリダイレクトさせます。

HTTP/1.1 302 Found
Location: https://client.example.org/cb?
   error=invalid_request
   &error_description=
     Unsupported%20response_type%20value
   &state=af0ifjsldkj

Step.3: 認証結果の取得

Step.2 でWebサービスは認証サービスからのリダイレクトを受け、認証コードを取得すると、この認証コードを利用して認証サービスに対して認証結果情報（IDトークンなど）を取得します。

Webサービスから認証サービスへの認証結果取得リクエストは以下のような形式になります。

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
 
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
  &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

認証コードを送信する必要があるため、POST メソッドでリクエストします。またクライアントIDとクライアントシークレットによるBASIC認証を行います。

このリクエストでクライアントシークレットが必要になるのですが、これは認証サービスにとってWebサービスの正当性を検証するための重要なパラメータであり、安全に管理される必要があります。

SinglePageApplicationのようにユーザー側にあるアプリケーションでOIDCを処理する場合には、このクライアントシークレットが安全に管理される保証がないため、AuthenticationCodeFlowではなくImplicitFlowなどを利用する必要があります。

Webサービスからのリクエストを受け取った認証サービスは grant_type にStep.1で指定した処理フローに該当する情報を渡し、認証コード（ code ）と合わせて認証サービスにリクエストの検証をさせます。

認証サービスはリクエストの検証に成功すると、Webサービスに対し認証結果としてIDトークン等を返却します。

HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-cache, no-store
Pragma: no-cache
 
 {
  "access_token":"SlAV32hkKG",
  "token_type":"Bearer",
  "expires_in":3600,
  "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
  "id_token":"eyJ0 ... NiJ9.eyJ1c ... I6IjIifX0.DeWt4Qu ... ZXso"
 }

access_token は認証サービスで管理しているユーザー属性情報を取得するためのOAuth2トークンです。

refresh_tokenは認証サービスからaccess_tokenを再発行する際に利用します。

Step.4: 認証結果の検証

Webサービスは認証サービスから取得したIDトークンを検証します。IDトークンは前述の通りJWTで表現されており、認証サービスの公開鍵を用いて検証することができます。

手順は こちら をご確認ください。他にも参考リンクを紹介しておきます。

• https://qiita.com/bobunderson/items/d48f89e2b3e6ad9f9c4c
• https://qiita.com/TakahikoKawasaki/items/8f0e422c7edd2d220e06

下記はIDトークンに含まれる認証情報の例です。

{
  "iss": "https://server.example.com",
  "sub": "24400320",
  "aud": "s6BhdRkqt3",
  "exp": 1311281970,
  "iat": 1311280970
}

このうち sub が認証サービスで管理されているユーザーの識別子です。

issは認証サービス、audはWebサービスのクライアントIDになります。

exp、iatはそれぞれ認証の有効期限と認証したタイムスタンプです。

WebサービスはIDトークンが正しい内容であることが確認できれば、これをログインセッションと紐づけて保管します。

以上で認証処理は完了です。

ユーザー属性情報の取得

ユーザー認証後、Webサービスがユーザー名などのユーザー属性情報が必要になった場合、Step.3 で取得した access_token を利用し認証サービスに対してユーザー属性情報をリクエストします。

GET /userinfo HTTP/1.1
Host: server.example.com
Authorization: Bearer SlAV32hkKG

このリクエストにより、Step.1の scope で指定したユーザー属性情報が取得できます。

まとめ

以上少し長くなりましたが、ユーザー認証とOpenID Connect、特に基本のAuthenticationCodeFlowについて解説しました。限られた発表時間の中での解説のため厳密さより雰囲気を重視した内容となりましたが、お気づきの点などあればお知らせいただければと思います。

サービスの要件やフェーズによってOIDCを取り入れるかどうかは様々ですが、ユーザー認証の実装を自前で実装、メンテナンスしていくだけでなく、Amazon Cognitoなどの便利な認証サービスを利用していくことも選択肢の一つとして検討してみても良いかもしれません。

そしてそれら便利な認証サービスをうまく使いこなすためにも、その背景にあるOIDCの仕様や思想、そもそも認証の仕組みについて立ち返ってみると、理解が一段と深まるかとおもいます。

www.medley.jp

www.medley.jp

おはこんばんちは、開発本部エンジニアの大岡です。

先日、TechLunchという社内勉強会で「フロントエンジニアがUI設計〜実装で考えていること」という内容で発表しました。UI設計から実装の細かい話ではなくどういう気持ちで望んでるかという話で、基本的なことしか書いていませんが紹介させていただければと思います。

UI設計

UI設計をデザイナーがして、それをエンジニアが実装する場合とエンジニアが単独でUI設計から実装までする場合があります。今回はそれぞれのケースで、フロントエンドエンジニアがどういうことを考えてるかを紹介します。

とその前に、他人とUIについて話すときに気をつけてる言葉で分かりやすくまとまっているツイートがあったので紹介します。

自分が他の人にUIデザインの説明をするとき、あまり使わないようにしている言葉がいくつかあるので、それらについて描きました。
私の中では、これ系の言葉は、
初心者：使いがち
中級者：ほぼ使わない
上級者：たまに使ってる
みたいな印象があります。 pic.twitter.com/O2URgRCVHe

— Yukari Shingyouchi / 手描きノート (@singularity8888) 2018年12月2日

• 普通はそうする
• 直感的にわかる
• 使いやすい
• わかりやすい

これらの言葉は誰にとってなのか?やそれまでの経験によって意味合いが変わってきてしまうので対象を明確にしないと相手と話が噛み合わなくなることもあるので気をつけています。今回何ヶ所か使っていますが実際UIについて話すときは使わないように心がけています。

デザイナーから画面仕様をもらう場合

デザイナーが優秀であればあるほど、もらった画面仕様を元に早く手を動かしたくなります。ですがここはグッと堪えます。落ち着いて以下のようなことを考えてます。

• なぜこの課題がうまれたのか
• 解決したい課題の本質はなんなのか
• 他の解決策はないのか
• この機能を追加してしまうことにより他に影響がでてしまわないか
• 追加ではなく他の機能を落とすことにより解決できないのか
• そもそも必要なのか

など、この段階で理解できないことはチームで話したりして解決しておきます。次に画面仕様に目を向けまた考えます。

• 似たようなコンポーネントがあったら統一できないか
• より使いやすくできないのか
• 操作感が他と明らかに違わないか
• 操作に対して予想した動きになっているか
• 表示されている情報に意味があるのか

など、画面仕様からは理解できないことや疑問点などはデザイナーとコミュニケーションをとり齟齬がでないようにします。

手を動かす前にある程度ユーザが解決したい課題を精度高く汲み取り落としこめるように努力してます。

自分でUI設計をする場合

「デザイナーから画面仕様をもらう場合」に書いたことをまずは考えています。

それらを踏まえ、すでに実装済みのUIで似たようなものがあれば似たように作ります。理由としては既にユーザが学習済みのUIのため新たに追加した機能だとしても比較的学習コストが低くなるのではないかと考えるからです。

似たようなUIがなく新たに作らなければならないときは以下を意識しています。

• 表示する情報の精査
• 表示する情報はリストなのか詳細表示なのか
• 表示する情報に対しての操作はどんなものがあるのか
• 操作に対してのレスポンス・納得感はどうすれば得られるのか
• エラー表示をどうするのか
• 表示する情報が多すぎて収まり切らない場合どうするのか
• 表示する情報がない場合どうするのか
• 画面サイズ毎に適切に表示できるか
• 状態（クリックやホバーなど）を表現できてるか
• リストの場合デフォルトの順番は適切なのか

などをざっくりノートなどに書き出し詳細を詰めていっています。行き詰まったら迷わずデザイナーに相談しにいきます笑

実装

細かい実装部分というよりはもっと大枠の基本的なことですが紹介します。

• 何も考えずにコピペしない
• 修正が大変になるので一箇所になるべくまとめる
• 用途にあったコンポーネントを使う
• 似てるからと使い回すとコンポーネント修正時に思わぬ変更が加わる可能性があるかも
• コンポーネント間の関係が疎になるようにする
• 密接な関係だと気を使い合わなくてはならず修正が大変
• コンポーネントを作成する際に無理に汎用性をもたせない
• 修正が困難になり逆に汎用性がなくなる場合が多い
• Reduxに管理させるステートの粒度は適切か
• なんでもかんでもReduxに状態を管理させてしまっていないか
• 無駄な再レンダリングをしていないか
• 無駄な通信をしていないか
• 非同期通信のレスポンスが遅い場合にサーバー側の処理に問題がないか
• 関数や変数は適切な命名で適切な場所に書かれているか
• マジックナンバーを使ってしまっていないか
• 使ってると修正大変
• なるべく簡単に書けないか
• エラー・例外時の動きは適切か

など細かいことを言い出したらキリがないですが、こんなこと意識してます。

よりよいものを届けるために

いろいろと書きましたがUI設計から実装完了まではなるべく早く終わらせようと意識しています。１サイクルを

1. UI設計
2. 実装
3. 触る
4. フィードバック

とした場合に、このサイクルをリリースまでに多く回すことによってより多くの気づきが得られるからです。基本的には一回作ってうまくいくことは希かと思っているからです。

ただ、フィードバックの段階で本当に色々な意見がでてきます。心が折れかけることやイライラすることもあるかもしれません。ですが、プロダクトとして必要なのか、今必要なのか、対象とする利用者としてなのか、ただの愚痴なのか等を見極め軸をぶらさないことが大切です。

フロントエンドのUIやパフォーマンス系は事業的に見ると優先度が低い場合が多い印象を受けます。優先度が上がるときは強い競合、数字的な上昇が見られなくなった時など危機感がでてきたときかなと。。。足りない機能を追加しないといけないし、そもそも人的リソースが足りないなどしょうがないことなのかなとも思っています。

初回リリース時に時間が足りなくても精度の高いものを作りたいという気持ちがあるため先ほどのサイクルを多く回し一人でも多くの人に触ってもらい気付ける回数を増やすことは大事なことだと思っています。

さいごに

あくまで私個人が考えてることなのでフロントエンジニア全てにあてはまるわけではありません。出来てないこと抜けてしまう時や本質的に理解していないことも多々あると思いますが、自分はこんなことを考えているという紹介でした。最後までお読みいただきありがとうございました。

▼メドレーで働くクリエイターたちのストーリーはこちら

www.medley.jp