分野 ：テクノロジ系
中分類：セキュリティ
小分類：セキュリティ実装技術

OAuth2.0は、あるWebサービスが保有しているリソースを、その利用者ユーザー本人の許可のもと、別のWebサービスでも利用できるように認可して連携するためのものです。認証は行わず、リソース単位で適切な権限を与えます。ユーザーが許可すると、サードパーティアプリケーションに対してWebサービス側からアクセストークン(委任状のようなもの)が発行され、サードパーティアプリケーションはユーザーに代わりそれを使用してWebサービス(API)にアクセスします。

イメージしやすいものでは、あるWebサービスに新規登録する際、ID/PWでの登録の他にFacebookやGoogleアカウントでの新規登録もできます、と表示されている画面です。これにはOAuth2.0の仕組みが使われています。あるWebサービス（＝FacebookやGoogle）が保有しているリソースを、その利用者（＝あなた）が別のWebサービス（＝新規登録するWebサービス）でも利用できるように認可して連携するのです。注意が必要なのは、認証（利用者本人の確認を行うこと）は行わず、認可（利用者に正しい権限を与えること）のみであるという点です。認可も認証も行うものにはOpenID Connectがあります。

また、OAuth2.0の午後問題でよく問われるのは、「OAuth2.0で認可を行う際のセキュリティ上の注意点」です。

• 認可のみであり認証を行わないこと
• 必要最小限の原則に則り、不要な権限を付与しないこと

したがって「イ」の説明が適切です。