OAuth 2.0 / OpenID Connect 入門 - 認可と認証の違い、Authorization Code Flow + PKCE まで
約17分
OAuth 2.0(認可)と OpenID Connect(認証)の違いを、登場人物・各種トークン・フローの観点から整理します。なぜ今 Authorization Code Flow + PKCE が推奨なのか、Implicit Flow や ROPC がなぜ非推奨になったのか、access/refresh/ID トークンの役割は何かを、RFC 6749/7636/6750/9700 と OAuth 2.1 ドラフト、OpenID Connect Core 1.0 を一次ソースに、Web アプリ開発者向けにまとめます。