OAuthとBasic認証の違い

Basic認証

Basic認証のやり方

• Basic認証が設定されているページへアクセスすると、ポップアップ表示
• IDとpasswordを入力することで、ログインすることができます。
• 「.htaccess」を利用して、設定できるという非常に簡単な認証

OAuth認証

概要

• 認可サーバをWebサーバとはべつに立てる。そこからアクセストークン生成して、Webサーバとクライアントで トークンをIDカードのように用いてやりとりさせる

アプリからリソースサーバ（WebAPI）アクセスまでの流れを４分割で説明

認可エンドポイント（認可サーバ）

アプリから認可エンドポイントへ

• 認可エンドポイントへ認可リクエスト
• アプリへ認可サーバからレスポンス（認可画面）
• ユーザはアプリに対し、ログインとパスワードをリクエスト
• 認可サーバは短命の認可コード発行

トークンエンドポイント

• アプリはトークンエンドポイント（認可サーバ）へ認可コードを提示
• 認可サーバは、アプリへアクセストークンを返す

リソースエンドポイント

• リソースサーバ（本体業務サーバ）へアクセストークンを提示(Web-APIコール）

リソースサーバと認可サーバ

• 認可サーバへアクセストークンを送信して確認
• 認可サーバからリソースサーバへアクセストークンの情報を返す
• リソースサーバはアクセストークンの情報から有効期限を確認する
• 有効であれば、Web-APIのレスポンスをアプリへ