<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
<ul>
<li>OAuth2.0の同意画面をポチポチしたことは、ある</li>
<li>OAuth2.0を使ったことはある</li>
<li>OAuth2.0のフローはなんとなく知っている</li>
<li>『一番わかりやすいOAuthの説明』も読んだ</li>
</ul>
<iframe id="zenn-embedded__2267fa6f784df" src="https://embed.zenn.studio/card#zenn-embedded__2267fa6f784df" data-content="https%3A%2F%2Fqiita.com%2FTakahikoKawasaki%2Fitems%2Fe37caf50776e00e733be" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://qiita.com/TakahikoKawasaki/items/e37caf50776e00e733be" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/TakahikoKawasaki/items/e37caf50776e00e733be</a>
けど 「OAuth2.0とは何かがやっぱり良くわからない」 という方へ向けた記事です。 
OAuth2.0を「成り代わり」という概念を軸に説明していきます。
<aside class="msg message">!<div class="msg-content">
OAuth2.0がどうしても理解できない問題を解決することに主軸をおいた記事です。 
専門的な解説はありません。（最後にRFCへのリンクは貼っています。）
記事の最後に注意事項もあるのでお読みください。
</div></aside>
<h2 id="oauth%E3%81%A8%E3%81%AF%EF%BC%9F">
<a class="header-anchor-link" href="#oauth%E3%81%A8%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> OAuthとは？</h2>
自分がこの記事で伝えたいのはこれしか無いです。
OAuth2.0を 「成り代わり」 という概念を元に考えてみると、理解しやすく忘れにくい、かもです。 
言い換えると、「アプリAがユーザに成り代わってアプリBを操作する仕組みを実現している」 ということです。
図示します。
<img src="https://storage.googleapis.com/zenn-user-upload/06835c1a129b-20230721.png" alt loading="lazy" class="md-img">
ユーザが（最近何かと物騒な）Twitterを利用しています。 
通常であれば、ユーザはTwitterにログインし、ツイートすることでしょう。
そこで、ユーザが「アプリA」というWebアプリを使い始めました。アプリAは自動でTwitterにツイートしてくれる機能を持っています。ユーザはその機能を使いたいので、「アプリAにツイートを許可しますか？」のような画面をまぁよく確認せずに許可しました。おかげで、アプリAはTwitter（アプリB）をユーザに成り代わって操作することが可能になりました。
もう一度言います。 アプリAはユーザのかわりにアプリBを操作しているように見えます。 
まるで成り代わっているようです。
<h2 id="oauth2.0%E3%81%AE%E3%83%95%E3%83%AD%E3%83%BC%E3%82%92%E5%86%8D%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#oauth2.0%E3%81%AE%E3%83%95%E3%83%AD%E3%83%BC%E3%82%92%E5%86%8D%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B" aria-hidden="true"></a> OAuth2.0のフローを再確認する</h2>
OAuth2.0を理解するポイントは 成り代わりの発生だということを強調しました。 
では、アプリAがユーザに成り代わるにはどうすればいいでしょうか？
簡単なのは、アプリAがユーザのTwitterのユーザIDとパスワードでログインすること ですね。 
ただそれだとツイート以外のフル権限を持ってしまったり、Twitter（アプリB）にパスワードがアプリAに保管されてしまったりと、気になる点がいくつか出てきます。
そのあたりの問題を解決しながら、成り代わりを実現したのがOAuth2.0です。 
というわけでよく見かけるフローを再確認していきます。
<img src="https://storage.googleapis.com/zenn-user-upload/386a0d79d0bb-20230721.png" alt loading="lazy" class="md-img">
アプリAがユーザが行う操作の権限を持つようになってる〜（ユーザに成り代わってる〜）と思いながら眺めてほしいです。
この辺で、 OAuth2.0は認可のフレームワークだ という説明にも納得いき始めると思います。
ずっと成り代わりだ成り代わりだと表現してきましたが、「アプリAにユーザに代わってアプリBを操作させる（成り変わらせる）ためにどうやって権限を委譲するか、というフロー（フレームワーク）」がOAuth2.0です。
※この記事では、なぜこのフローが安全で嬉しい仕組みなのかは見ていきません。
<h2 id="%E5%BE%85%E3%81%A6%E3%80%82oauth%E3%81%A3%E3%81%A6%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%AE%E6%89%8B%E6%AE%B5%E3%81%A7%E3%81%AF%EF%BC%9F%E3%81%A4%E3%81%BE%E3%82%8A%E8%AA%8D%E8%A8%BC%E3%81%A7%E3%81%AF%EF%BC%9F">
<a class="header-anchor-link" href="#%E5%BE%85%E3%81%A6%E3%80%82oauth%E3%81%A3%E3%81%A6%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%AE%E6%89%8B%E6%AE%B5%E3%81%A7%E3%81%AF%EF%BC%9F%E3%81%A4%E3%81%BE%E3%82%8A%E8%AA%8D%E8%A8%BC%E3%81%A7%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> 待て。OAuthってログインの手段では？つまり認証では？</h2>
「待ってくれ。自分がOAuthを使用する場面はログイン、つまり認可ではなく認証だぞ。」 
と感じた方も多いと思います。
<code>Sign in with XXXXX</code>というボタンをよく見かけますよね。 
<img src="https://storage.googleapis.com/zenn-user-upload/66504fcd7ce1-20230721.png" alt loading="lazy" class="md-img">
自分が出会った例だと、GrafanaダッシュボードにGoogleアカウントでログインする、というものがありました。
なにか違うフローのように見えますが、実はこれもさっきの認可フローと同じです。 
Googleのユーザ情報を取得するAPIの操作を認可し、その情報を使って・認証ログインをしていたという仕組みです。
<img src="https://storage.googleapis.com/zenn-user-upload/b7c09f697d3a-20230721.png" alt loading="lazy" class="md-img">
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81%E3%83%BB%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81%E3%83%BB%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> まとめ・おわりに</h2>
「成り代わり」というキーワードが、OAuth2.0がどうしても理解できない人の助けになればと思っています。
<aside class="msg message">!<div class="msg-content">
成り代わり というのは私がOAuth2.0を理解したきっかけの言葉です。
アプリAがアプリBを操作できるようになるイメージを伝えたかっただけであり、そもそも「成り代わり」という言葉だと権限もまるごとそのユーザになるイメージを持たせてしまうので、誤りです。（OAuthは権限を制限できる）
また、正式には委譲とかbehalfという言葉だと思うので注意してください。
</div></aside>
この記事はとにかく理解を主軸においているので、この後はより専門的な記事や本・ドキュメントを読んだり、実際にOAuthの設定を行ったりするのが良いと思います。私もOAuth2.0への理解を深めていこうと思います。
ありがとうございました。
RFC： 
<iframe id="zenn-embedded__8bc9553e4755a" src="https://embed.zenn.studio/card#zenn-embedded__8bc9553e4755a" data-content="https%3A%2F%2Fdatatracker.ietf.org%2Fdoc%2Fhtml%2Frfc6749" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://datatracker.ietf.org/doc/html/rfc6749" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://datatracker.ietf.org/doc/html/rfc6749</a>

どうしてもOAuthとは何かよく分からない人への新入門

待て。OAuthってログインの手段では？つまり認証では？

Discussion