OpenID Connectとは?基本の仕組みをやさしく解説!初心者でもわかる認証の仕組み
新人
「最近、Spring Securityを調べてたら『OpenID Connect』って出てきたんですが、OAuth2と何が違うんですか?」
先輩
「お、それは大事なポイントだね。OpenID ConnectはOAuth2を拡張した『認証』の仕組みなんだよ。」
新人
「OAuth2は認可の仕組みですよね?OpenID Connectはそれとは別なんですか?」
先輩
「うん。OAuth2は『リソースへのアクセス許可』、つまり認可だけど、OpenID Connectは『誰かを識別する』、つまり認証のための標準仕様なんだ。じゃあ、まずは基本から順番に説明するよ!」
1. OpenID Connectとは?(OAuth2との違いを含めた基本概念)
OpenID Connectとは、OAuth2の上に構築された認証用プロトコルです。OAuth2はもともと「認可(Authorization)」の仕組みであり、「認証(Authentication)」には向いていません。
たとえば、OAuth2だけでは「この人は誰か?」という情報を取得する標準的な方法がありません。そこでOpenID Connectが登場しました。OpenID Connect 基本仕様では、IDトークン(ID Token)という特別なトークンを使って、ユーザーの情報(名前、メールアドレスなど)を安全に取得できます。
さらに、OpenID ConnectはGoogleやFacebook、GitHubなど多くのアイデンティティプロバイダ(IdP)で利用されており、SSO(シングルサインオン)を実現するための基盤としても使われています。
OpenID ConnectとOAuth2の違いをまとめると、以下の通りです:
- OAuth2: 認可(リソースアクセスの許可)を扱う
- OpenID Connect: 認証(ユーザーが誰かを証明)を扱う
つまり、OpenID Connectとは OAuth2 をベースに「誰なのか」を判定するための認証プロトコルだという理解が重要です。OAuth2と組み合わせて使われることで、セキュアなログイン処理が可能になります。
2. OpenID Connectの登場人物と役割(エンドユーザー、クライアント、OPなど)
OpenID Connectの仕組みを理解するためには、登場する役割とその関係性を把握することがとても大切です。以下のような登場人物が存在します:
- エンドユーザー(End-User):ログインしたいユーザー自身です。
- クライアント(Client):ユーザーが利用するWebアプリやモバイルアプリです。
- 認可サーバー(Authorization Server):トークン発行や認可処理を行うサーバーです。
- OpenIDプロバイダ(OP: OpenID Provider):ユーザーの認証を行い、IDトークンやユーザー情報を返す認証サービス(例:Google、Auth0など)です。
このように、OpenID ConnectではクライアントがOpenIDプロバイダに認証を依頼し、エンドユーザーが認証に成功すると、IDトークンを受け取って「誰がログインしたのか」を判断します。
ここで重要なのがIDトークンです。このトークンはJWT(JSON Web Token)形式で、ユーザーの情報やトークンの有効期限などを含んでいます。このIDトークンを検証することで、クライアントアプリは信頼性のあるログイン情報を得ることができます。
以下は、IDトークンの一例(デコードされた状態)です。
{
"iss": "https://accounts.google.com",
"sub": "1234567890",
"email": "user@example.com",
"name": "山田 太郎",
"aud": "your-client-id",
"exp": 1725039600,
"iat": 1725036000
}
issは発行元、subはユーザーID、emailやnameでユーザー情報を取得できます。
このように、OpenID Connectではユーザーの認証と情報取得がセットで行える点が大きな特徴です。
また、OpenID Connectを使用することで、パスワードをアプリ側で扱わずにログインができるため、セキュリティの観点からも非常に優れた選択肢となります。
3. OpenID Connectの基本フロー(認証リクエスト~IDトークン取得まで)
OpenID Connect 認証フローでは、ユーザーがアプリケーションにアクセスし、認証プロバイダを通じてログインする一連の流れが自動的に処理されます。以下にその基本的なステップを示します。
- ユーザーがログインボタンをクリックすると、クライアントはOpenID Provider(OP)へ認証リクエストを送ります。
- ユーザーはOPのログイン画面で認証を行います。
- 認証成功後、OPは認可コードをクライアントにリダイレクトします。
- クライアントはこの認可コードを使用して、OPからIDトークンとアクセストークンを取得します。
このとき取得するIDトークンはJWT形式であり、ユーザー情報が含まれた認証トークンです。OpenID Connect 認証フローでは、このIDトークンの検証が非常に重要な工程となります。
4. Spring SecurityでOpenID Connectを使う場合の構成と必要な依存関係
OpenID Connect Spring Security連携を行うには、Spring Bootプロジェクトに必要な依存関係を追加する必要があります。PleiadesのSpring Bootプロジェクト作成画面で、以下の依存をチェックしておくとよいでしょう:
- Spring Security
- OAuth2 Client
- Spring Web
これらの依存関係をGradleで追加した場合、build.gradleは以下のようになります。
dependencies {
implementation 'org.springframework.boot:spring-boot-starter-security'
implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'
implementation 'org.springframework.boot:spring-boot-starter-web'
}
spring-security-oauth2-clientが中心的な役割を担い、OpenID Connectと連携したログイン機能を実装可能にします。
5. application.ymlによる設定の書き方と注意点
OpenID ConnectとSpring Securityを連携させるためには、application.ymlファイルで認証プロバイダの情報を正しく設定する必要があります。以下はGoogleを使った設定例です。
spring:
security:
oauth2:
client:
registration:
google:
client-id: YOUR_CLIENT_ID
client-secret: YOUR_CLIENT_SECRET
scope:
- openid
- profile
- email
provider:
google:
authorization-uri: https://accounts.google.com/o/oauth2/v2/auth
token-uri: https://oauth2.googleapis.com/token
user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo
user-name-attribute: sub
この設定では、OpenID Connectに必要なscopeにopenidを必ず含めることがポイントです。これが抜けていると、IDトークンが取得できずにOpenID Connectとしての認証が失敗します。
また、user-name-attributeには、通常「sub」を指定します。「sub」はOPが発行する一意のユーザー識別子で、セッション管理に利用されます。
これらの設定を行うことで、Spring Securityは/oauth2/authorization/googleというログインエンドポイントを自動生成し、OpenID Connectを用いた認証が開始されます。
6. OpenID Connectのログイン画面と認証成功後の画面遷移
OpenID Connect ログイン画面は、ユーザーが認証プロバイダ(例:Google)にアクセスしてログインするための入り口です。Spring SecurityとOpenID Connectを連携すると、ログインボタンから自動的に認証プロバイダへリダイレクトされる仕組みになります。
ログイン画面を自分で用意する必要はなく、Spring Securityが提供するURL(例:/oauth2/authorization/google)にアクセスすれば、認証プロバイダのログインページへ移動します。そこでユーザーがIDとパスワードを入力すると、認証に成功したあとにアプリケーションへリダイレクトされます。
認証に成功すると、Spring Securityは自動的にユーザー情報を取得し、セッションに保存します。その後、デフォルトでは「/loginSuccess」などのパスに遷移しますが、これはカスタマイズ可能です。
@Configuration
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth.anyRequest().authenticated())
.oauth2Login(oauth -> oauth.defaultSuccessUrl("/home", true));
return http.build();
}
}
defaultSuccessUrlで遷移先を指定することができます。ログイン後に自分の画面へリダイレクトさせたい場合に活用します。
7. IDトークンとユーザー情報の取り扱い方
OpenID Connect IDトークンには、ユーザーの識別情報がJWT形式で格納されています。このIDトークンはSpring Securityの認証処理の中で自動的にパースされ、ユーザー情報として利用できます。
コントローラでユーザー情報を取り出すには、以下のようにAuthenticationオブジェクトを使います。
@Controller
public class HomeController {
@GetMapping("/home")
public String home(Model model, Authentication authentication) {
OAuth2AuthenticationToken oauthToken = (OAuth2AuthenticationToken) authentication;
Map<String, Object> attributes = oauthToken.getPrincipal().getAttributes();
model.addAttribute("name", attributes.get("name"));
model.addAttribute("email", attributes.get("email"));
return "home";
}
}
このようにして、OpenID Connectから取得したIDトークンの情報を画面に表示することが可能です。
ただし、セキュリティ上の注意点として、トークンの内容はログ出力や外部送信しないようにしてください。また、ユーザー情報は信頼できるプロバイダからのものであるかを確認することも大切です。
8. Spring SecurityでOpenID Connectを使う際の注意点とベストプラクティス
Spring SecurityとOpenID Connectを連携する際に初心者がつまずきやすい点や、ベストプラクティスを以下にまとめます。
1. 認可コードフローの理解不足
OpenID Connectは認可コードフローを使用しています。これを正しく理解しないと、認証エラーやトークン取得失敗に悩まされます。特に、scope: openidを設定し忘れると、IDトークンが取得されません。
2. クライアントID・シークレットの漏洩に注意
application.ymlに書かれたclient-idやclient-secretは非常に重要な情報です。これらはGitなどで公開しないように、.gitignoreや環境変数の利用を検討しましょう。
3. ログイン失敗時のエラーハンドリング
ログインに失敗した場合、Spring Securityはデフォルトでエラーページに遷移しますが、カスタムエラー画面を用意することでユーザー体験を向上させることができます。
.oauth2Login(oauth -> oauth.failureUrl("/login-error"))
この設定により、認証失敗時には/login-errorにリダイレクトされます。
4. セッション管理とログアウト処理
OpenID Connectでログイン後、セッションが有効な間は再認証は不要になります。ログアウト処理を実装する際は、セッションの無効化や/logoutの有効化を検討しましょう。
http.logout(logout -> logout.logoutSuccessUrl("/"));
これにより、ログアウト後の遷移先をルート(トップページ)に設定できます。
以上のポイントを踏まえることで、Spring SecurityとOpenID Connectの連携をより安全かつ安定的に実装できます。
まとめ
OpenID Connectの全体像を振り返る
ここまでの記事では、OpenID Connectとは何かという基本概念から、OAuth2との違い、登場人物の役割、認証フロー、Spring Securityとの連携方法、そして実装時の注意点までを段階的に学んできました。OpenID Connectは、単なるログイン機能ではなく、「ユーザーが誰であるか」を安全かつ標準的な方法で証明するための認証プロトコルです。現代のWebアプリケーションや業務システムでは、IDとパスワードを自前で管理するよりも、信頼できる認証基盤を利用する設計が主流になっており、その中心的な技術がOpenID Connectです。
特に重要なのは、OpenID ConnectがOAuth2の仕組みを土台にしながら、「認可」ではなく「認証」に焦点を当てている点です。OAuth2だけでは「アクセスしてよいか」は判断できても、「その人が誰か」を保証する仕組みが不足していました。OpenID Connectでは、IDトークンというJWT形式のトークンを通じて、ユーザーの識別情報を安全に取得できます。この仕組みにより、Webアプリケーションはユーザー情報を信頼して扱えるようになります。
OpenID Connectが実現するログイン体験
OpenID Connectを利用すると、GoogleやGitHubなどの外部サービスを使ったログイン、いわゆるシングルサインオンが簡単に実現できます。ユーザーは新しいサービスごとにパスワードを覚える必要がなくなり、開発者側もパスワード管理の責任から解放されます。この構造は、セキュリティリスクの低減だけでなく、ユーザー体験の向上にも直結します。
Spring Securityと組み合わせることで、OpenID Connectの複雑な処理の多くをフレームワークに任せることができます。依存関係の追加やapplication.ymlの設定を正しく行えば、認証リクエストの生成、トークン取得、IDトークンの検証、セッション管理までを自動で処理してくれます。開発者は「ログイン後に何をするか」というアプリケーション本来のロジックに集中できる点が大きな魅力です。
Spring SecurityとOpenID Connect連携の要点
Spring SecurityでOpenID Connectを扱う際には、いくつかの重要なポイントがあります。その中でも特に大切なのが、scopeに必ず「openid」を含めること、user-name-attributeに「sub」を指定すること、そして認可コードフローの流れを正しく理解することです。これらが欠けていると、IDトークンが取得できず、認証が正常に完了しません。
以下は、OpenID Connectでログイン後にユーザー情報を取得して画面に表示する基本的な例です。記事内で紹介した構成と同じように、ControllerとModelを使ってデータをViewへ渡しています。
@Controller
public class HomeController {
@GetMapping("/home")
public String home(Model model, Authentication authentication) {
OAuth2AuthenticationToken token =
(OAuth2AuthenticationToken) authentication;
Map<String, Object> attributes =
token.getPrincipal().getAttributes();
model.addAttribute("name", attributes.get("name"));
model.addAttribute("email", attributes.get("email"));
return "home";
}
}
このように、OpenID Connectによって取得したIDトークンの情報を使えば、「誰がログインしているのか」を前提とした画面表示や処理を簡単に実装できます。ただし、トークンの内容を不用意にログ出力しない、外部に渡さないといった基本的なセキュリティ意識は常に持っておく必要があります。
OpenID Connectを学ぶ意義
OpenID Connectは少し難しく感じるかもしれませんが、現代のWeb開発では避けて通れない重要な技術です。認証と認可を正しく分離して考えられるようになると、セキュリティ設計の理解が一段深まります。また、OpenID Connectの考え方は、業務システムやクラウドサービス、モバイルアプリ開発にも広く応用されています。
この記事で学んだ内容を土台に、今後は独自の認証基盤を構築したり、複数のサービスをまたいだSSO設計に挑戦したりすることも可能になります。まずは基本の仕組みをしっかり理解し、「なぜこの設定が必要なのか」を説明できるレベルを目指すことが大切です。
生徒:「OpenID Connectって難しそうでしたけど、OAuth2との違いを意識したら整理できました。」
先生:「それは大きな一歩ですね。認証と認可を分けて考えられるようになると、設計力が上がります。」
生徒:「IDトークンで『誰がログインしたか』を判断しているのが、ようやく分かりました。」
先生:「その理解があれば、Spring Securityの設定も意味を持って見えてきますよ。」
生徒:「次は、ログアウトや権限制御もちゃんと実装してみたいです。」
先生:「いいですね。OpenID Connectを理解できた今なら、より安全な認証設計に挑戦できます。」
この記事を読んだ人からの質問
