クライアントを作って理解するOAuth2(準備編)

はじめに

GoogleやFacebookなどの外部サービスのAPIを利用する上で欠かせないのがOAuth2という仕様なんだけど、この仕様だけ読んでいてもつまらないしよーわからんので、実際に手を動かしてみて理解を深めよう、というのがこの記事の趣旨です。実際にはOAuth2素人が少し仕事でかじった知識をアウトプットしたものです。

OAuthとは

エンドユーザーのデータを3rd party applicationに渡すための仕組み。日本語だとこのページの説明が一番わかりやすい。

qiita.com

OAuth 2.0自体のRFCの仕様は以下にある。

必要なもの

Googleアカウント。GCPプロジェクトを作成するために必要
Go runtime(optional)

準備

今回はOAuth 2.0のAuthorization Code grantというGrant typeを使って認可を行う
この記事で作成するGmail Fetcherというものを3rd party applicationとしてGoogleに登録し、Access tokenを取得してGoogleのAPIを呼び出す

そのためには以下の手順でGoogleにアプリケーションを登録する必要がある。まずはGCPのConsoleからプロジェクトを作成する。詳細は以下の動画を見てほしい。

youtu.be

プロジェクト名はoinume-gmail-fetcherにする。ただ、他の人がプロジェクトを作る場合、oinumeは自分のアカウント名とか適当な文字列にしておく。でないと重複して作れないので。
次に、左上のメニューからAPIs & Servicesを選んで、APIs & Servicesのページを開き、ENABLE APIS AND SERVICES のボタンをクリックする。
そうするとAPIの一覧の画面に行くので、スクロールしてGmailのAPIを探してクリックする。
そしてENABLEボタンをクリックしてGmailのAPIを有効にする。
次にCredentialsの画面を開き、CREATE CREDENTIALSのボタンをクリックする。
フォームが出てくるので以下のように入力し、What credentials do I need?ボタンをクリックする。
- Which API are you using?: Gmail API
- Where will you be calling the API from: Web server
- What data will you be accessing?: User data

上の手続きを行ってClient idの発行が終わったら準備は完了。長くなるので、実際にOAuth2のフローの説明については次の記事で説明する。

用語の説明

ClientというのはGoogleで登録するあなたの3rd party applicationのこと。今回はgoogle profile getterというアプリケーションを作ってみるとする。

Resource owner or End user

エンドユーザー。Resource serverにデータ(リソース)を預けている。

Client

3rd party applicationのこと。今回だとgmail-fetcherのことを指す。End userからの認可を得てResource serverのデータにアクセスするアプリケーションのこと。

Resource server

End userのリソースを保持するサーバー。今回だとGoogleがこれに該当する。

Authorization server

End userからの認可を得てAccess tokenを生成するもの。日本語では認可サーバーと呼ばれる。

Client id

ClientのID

Client secret

Clientごとに発行される秘密鍵のようなもの。access tokenを取得する際に使用する。これが漏洩すると自分のアプリケーションを詐称してEnd userのデータにアクセスできてしまうので、漏洩しないようにする。参考 - https://ja.stackoverflow.com/questions/26469/ - https://oauth.jp/blog/2012/08/03/re-oauth-20clientsecret/