新人と先輩の会話形式で理解しよう

新人

「ログイン機能を作っていたら『OAuth2』っていう言葉が出てきました。これはどういうものなんですか？」

先輩

「OAuth2は、ログインの認可を他のサービスに委ねる仕組みなんだ。例えば、Googleアカウントでログインできる仕組みもOAuth2だよ。」

新人

「なるほど…認証と認可の違いもよくわからないんですが、それも含めて教えてもらえますか？」

先輩

「もちろん！まずはOAuth2の基本的な考え方から解説していこう！」

1. OAuth2とは？（基本概念と登場背景）

OAuth2とは、他のサービスの認証情報を利用して、安全にリソースへアクセスを許可するための認可フレームワークです。OAuth2は特に第三者によるアクセスを許可したい場面で使用されます。

例えば、あるWebアプリがGoogleアカウントでログインできる場合、そのアプリはOAuth2を使ってGoogleの認証機能に依存しています。

もともとOAuthは、TwitterなどのAPIを安全に外部開発者に提供するために生まれましたが、その後OAuth2として改良され、現在は多くのWebサービスで利用されています。

認証（Authentication）は「誰なのかを確認すること」、認可（Authorization）は「何ができるのかを許可すること」です。

OAuth2は基本的に認可のための仕組みであり、ログイン認証はOpenID Connect（OIDC）と併用して行うケースが多いですが、Spring SecurityではOAuth2 Loginとして認証用途にも利用可能です。

このように、OAuth2とはセキュリティを担保しつつ、他サービスの認証情報を活用するための仕組みなのです。

2. OAuth2の登場人物（リソースオーナー、クライアントなど）と基本フロー

OAuth2のフローを理解するためには、登場人物の役割を知ることが重要です。OAuth2には以下の4つの主な登場人物がいます。

リソースオーナー（Resource Owner）：ユーザー本人のこと。Googleなどのアカウント所有者です。
クライアント（Client）：ログイン機能を提供するアプリケーション（例：自社のWebアプリ）
認可サーバー（Authorization Server）：アクセス許可を与える側（例：GoogleのOAuthサーバー）
リソースサーバー（Resource Server）：保護されたユーザーデータを持つAPI側（例：GoogleのユーザープロファイルAPI）

これらが協力して動くことで、ユーザーが安全に認証・認可を受けてアプリケーションを利用できるようになります。

OAuth2の基本フローは以下の通りです：

ユーザーがクライアントにログイン要求を行う
クライアントは認可サーバーへリダイレクト
ユーザーが認可サーバーでログインし、アクセスを許可
認可サーバーが認可コードをクライアントに返却
クライアントは認可コードを使ってアクセストークンを取得
クライアントがアクセストークンを使ってリソースサーバーからユーザー情報を取得

このような流れにより、OAuth2 認可プロセスではユーザーのパスワードを渡さずに安全なアクセスが可能になるのです。

実際の開発でSpring Securityを使ってこの流れを構築するには、認可サーバーとの連携設定が重要になります。次回は、その実装部分に入っていきます。

3. Spring SecurityにおけるOAuth2連携の概要

Spring Security OAuth2 連携では、外部の認可サーバー（GoogleやGitHubなど）を使って、ログイン処理を外部化することができます。これにより、ユーザーが自社アプリにIDとパスワードを直接入力しなくても、安全に認証できる仕組みを構築できます。

Spring Securityは、spring-security-oauth2-clientモジュールを通じて、このOAuth2の処理を自動的に制御してくれます。クライアントIDやシークレット、認可エンドポイントなどを設定するだけで、複雑なOAuth2のフローをアプリ側で管理する必要がなくなります。

この仕組みを使うことで、認証処理の責任を外部サービスに委ねることができ、アプリケーションのセキュリティ向上につながります。

4. OAuth2クライアントとしての実装手順（設定ファイル・依存関係など）

まずは、Spring BootプロジェクトでOAuth2を使うために必要な依存関係を追加します。Pleiadesのプロジェクト設定から「Spring Security」「OAuth2 Client」を選択することで自動で依存関係が追加されます。

次に、OAuth2連携の設定をapplication.ymlやapplication.propertiesに記述します。以下はGoogle認証を例にした設定です。


spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: YOUR_GOOGLE_CLIENT_ID
            client-secret: YOUR_GOOGLE_CLIENT_SECRET
            scope:
              - openid
              - profile
              - email
        provider:
          google:
            authorization-uri: https://accounts.google.com/o/oauth2/v2/auth
            token-uri: https://oauth2.googleapis.com/token
            user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo
            user-name-attribute: sub

この設定により、Googleの認可サーバーと接続し、アクセストークンやユーザー情報を取得できるようになります。なお、認可コードフローがこの流れの中心となります。

実際にアプリケーションを起動すると、Spring Securityが自動的に「/oauth2/authorization/google」というエンドポイントを生成し、ここにアクセスすることでログイン処理が開始されます。

5. 認可コードフローを使ったログイン処理の流れ

OAuth2 認可コードフローは、サーバーサイドで安全にアクセストークンを取得できる手法です。Spring Securityを使えば、この流れはほとんど自動で処理されますが、内部でどのような手順が踏まれているのかを理解しておくことは非常に重要です。

ユーザーが「Googleでログイン」ボタンをクリックすると、Spring Securityは以下のようなステップを順に実行します。

「/oauth2/authorization/google」にアクセスすると、認可サーバー（Google）へリダイレクトされます
Googleのログイン画面が表示され、ユーザーがログインします
ログイン後、Googleが認可コードを発行してクライアントアプリにリダイレクトします
Spring Securityがこの認可コードを受け取り、Googleのトークンエンドポイントに対してアクセストークンを取得します
アクセストークンを使ってユーザー情報（ID、メールアドレスなど）を取得します
取得した情報を基にユーザー情報がPrincipalに設定され、ログイン完了となります

この一連の処理は、すべてSpring SecurityのOAuth2クライアント機能がバックエンドで行ってくれます。そのため、開発者は複雑なネットワーク通信処理やセキュリティ処理を書く必要がありません。

ただし、@Controllerを使用した通常のMVC構成で開発している場合、ログイン後のリダイレクト先や、セッション管理などの設定は個別に実装する必要があります。以下はログイン後に「/home」へリダイレクトさせる設定例です。


@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests(authz -> authz
            .requestMatchers("/home").authenticated()
            .anyRequest().permitAll()
        )
        .oauth2Login(oauth2 -> oauth2
            .defaultSuccessUrl("/home", true)
        );
    return http.build();
}

defaultSuccessUrlで指定したURLにログイン後リダイレクトされ、ログイン成功時の画面遷移をカスタマイズできます。

このように、Spring SecurityとOAuth2を連携させることで、安全かつ効率的なログイン機能を実現できます。これにより、ユーザーの利便性とセキュリティの両方を満たすことができます。

6. 実際のOAuth2連携ログイン画面の作成方法

OAuth2 Spring ログイン画面の作成では、まずユーザーがログインを開始する導線を用意する必要があります。Spring Securityが自動で生成するエンドポイント/oauth2/authorization/{provider}へリンクを設ければ、OAuth2による認証が開始されます。

以下は、Googleアカウントを使用したOAuth2ログインをトリガーとするリンクのHTMLサンプルです。


<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>ログイン</title>
</head>
<body>
  <h1>OAuth2 ログインページ</h1>
  <a href="/oauth2/authorization/google">Googleアカウントでログイン</a>
</body>
</html>

ログイン画面はとてもシンプルに構成できますが、企業要件に応じてUIや文言のカスタマイズも必要です。ただし、Spring Securityがログインボタンの裏で多くの処理を代行してくれていることを忘れずに。

なお、よくあるミスとして、application.ymlやapplication.propertiesでprovider名を間違えると「リダイレクト先が見つからない」エラーが発生します。指定する名前（例：google）は設定ファイル内と一致していなければなりません。

7. 認証後の処理（ユーザー情報の取得・セッション管理）

OAuth2でログインに成功すると、ユーザーのプロフィール情報が自動的に取得されます。これらの情報は、Spring SecurityのOAuth2Userインターフェースを通じてアクセスできます。

以下のように、@Controllerでマッピングしたコントローラ内から、ユーザー情報を取得できます。


@Controller
public class HomeController {

    @GetMapping("/home")
    public String home(Model model, @AuthenticationPrincipal OAuth2User oauth2User) {
        String name = oauth2User.getAttribute("name");
        model.addAttribute("userName", name);
        return "home";
    }
}

上記の例では、Googleのユーザー名を画面に渡しています。Spring Securityは自動的にセッション管理を行い、ログイン後もセッション内にユーザー情報が保持されます。

OAuth2 ユーザー情報取得は非常に簡単ですが、属性名（例：nameやemailなど）はプロバイダーによって異なるため、ドキュメントで事前に確認しましょう。

セッションのタイムアウトやセキュリティ対策（CSRF・Cookie設定）も忘れずに行うことで、より安全なログイン管理が実現できます。

8. Spring SecurityでのOAuth2実装における注意点とベストプラクティス

OAuth2 Spring 実装では、初心者が見落としやすいポイントがいくつか存在します。以下に代表的なものを紹介します。

① セキュリティフィルターの順序とCSRFの設定

Spring Securityではフィルターの順番が非常に重要です。CSRF保護を無効化する場合、OAuth2のルートを除外する設定が必要です。


http
  .csrf(csrf -> csrf
    .ignoringRequestMatchers("/oauth2/**")
  )
  .authorizeHttpRequests(authz -> authz
    .anyRequest().authenticated()
  )
  .oauth2Login();

しかし、セキュリティ上の観点からCSRFを無効にしない構成が望ましいため、基本的には適切なトークン管理を行う方針が推奨されます。