Basic認証とOAuth（iPhoneのメールアプリ）

「OAuth」は、従来のBasic認証と比べて安全にアカウントにアクセスできます。
OAuthでは、ログインページでの認証の後にユーザーがアプリに与える権限を細かく設定します。
その後は、アプリにアクセストークンが記録されるので、直接のパスワード情報は記憶しません。

1. Basic認証とOAuthの違い

「OAuth」って何なの？
これまでのメール設定と何が違うの？

「OAuth（オー・オース¹）」は、アカウントのデータを範囲を限定してアクセスさせるための仕組みです。

Basic認証とOAuth

Basic認証
- メールサーバーにアクセスするたびにユーザー名・パスワードで認証する
OAuth
- メールサーバーで「ログイン」をしてアクセストークンを取得する
- ふだんはアクセストークンで認証する

従来のメール設定は、「Basic認証」は、ユーザー名とパスワードを直接使用する認証方法です。
この認証では、ログインしたらすべてのデータにアクセスできました。
一方、OAuthは、ログインページで認証した結果をアクセストークンとして記録します。
アクセスできるデータ範囲は、ログイン時に許可した範囲に限定されます。

OAuthは「ウェブのためのバレーキー」と表現されています。バレーキーとは、車の一部の機能だけを使えるように制限された鍵のことです。OAuthを使うと、ウェブサービスの開発者は、ユーザーに代わってウェブサービスと連携できるようになります。その際、ユーザーは異なるサイト間でパスワードなどの個人情報を共有する必要がありません。
For immediate release: OAuth Core 1.0 Specification released at Internet Identity Workshop « OAuth

目次に戻る

1-1. 従来のBasic認証のメール設定

例えば、iPhoneのメールアプリの場合は、設定からメールアカウントを追加します。

このときに「その他」を選ぶとBasic認証の設定になります。

この方法は、パスワード情報が設定にそのまま残るため、他人に見られてしまうリスクがあります。

目次に戻る

2. OAuthでのメール設定

OAuthの特徴は、認証手続きの途中でサービスプロバイダのアクセス権限の確認が表示されることです。

このアプリがあなたの情報にアクセスすることを許可しますか？
（1/1 アプリ中）
iOSが、次の操作を行う許可を求めています。
メール、連絡先、カレンダー、タスクの同期と、メールの送信を行う
iOS にアクセス権を与えたデータへのアクセスを管理します
基本プロフィールの表示

OAuthでは、「サービスプロバイダ (OAuth Provider)」と「クライアントアプリ (OAuth Consumer)」が連携をして、ユーザー情報を管理します。

クライアントアプリがサービスプロバイダに認可要求を送信する
サービスプロバイダのログインページにリダイレクト
サービスプロバイダは、ユーザーに対して、クライアントアプリがアクセスを求めているデータについて説明し、許可を求めます。

この場合、Outlook.comがサービスプロバイダで、iOSのメールアプリがクライアントです。

目次に戻る

2-1. アクセストークンを受け取る

この「許可」って、背後ではどんな処理が行われているの？

ユーザーの許可が得られたら、サービスプロバイダはクライアントアプリに「認可コード」を送信します。

すると、クライアントアプリは受け取った認可コードを使って、今度はサービスプロバイダに「アクセストークン」を要求します。
サービスプロバイダがアクセストークンを発行すると、クライアントアプリは許可された範囲のアクセスデータを閲覧・編集できるわけです。

メールアプリ以外でも、ウェブサービスでの「Googleでログイン」なども同じOAuthです。

目次に戻る

3. 「認可」と「認証」の違い

「OAuth」は、特定の企業や組織に限定されないオープンな「認可」の仕組み（プロトコル）です。

「認証（Authentication）」と「認可（Authorization）」は似ていますが、ちょっと違います。

認証と認可

認証（Authentication）
- ユーザーが主張する通りの人物であることを確認すること
認可（Authorization）
- 認証の後にユーザーに対して、特定のリソースへのアクセスや操作を許可すること

これにより、ユーザーは自分のアカウント情報のすべてを直接共有することなく、第三者アプリケーションに特定の権限を安全に与えることができます。

たとえば

スマートフォンの使用でも、認証と認可は区別して利用されています。

指紋認証や顔認証でロックを解除するのは、まさに「認証」です。
一方、アプリごとに、連絡先やカメラへのアクセス権限を設定するのが「認可」に相当します。

こちらもどうぞ。

[macOS] Googleのログイン確認の通知があった（OAuthの再認証）

macOSで「Googleのパスワードが必要です」という通知が表示されることがあります。この通知はセキュリティのために必要な手順で、ブラウザでの認証が求められます。この一連の流れはOAuthという仕組みで行われ、安全なサービス連携を実現しています。「Googleのパスワードが必要です」macOSを使っていたら「Googleのパスワードが必要です」という通知が出てきました。Googleのパスワードが必要です"〜"のパスワードを"インターネットアカウント"で入力。通知をクリックす...

Twitterの連携アプリで表示される「iOS」は必要なの？【iOSとツイート共有の小歴史】

iOS のアップデートで、iOSとTwitterの連携は不要になりました（iOS 11〜）。以前（iOS 5〜iOS 10）は、iPhoneの共有でツイートするのに、iOSを「連携アプリ」に設定する必要がありました。残っていても問題はないですが、iOS 11以降なら解除しても大丈夫です。

「Googleでログイン」でアカウント管理はシンプルになる

「Googleでログイン」機能は、多くのウェブサイトで利用できる便利なサービスです。この機能を使用すると、ユーザーは新しいサービスに簡単に登録でき、パスワード管理の負担も軽減されます。セキュリティ面でも優れていますが、Googleアカウントの管理には十分注意する必要があります。

以前からのパソコンメールとスマホのメールは何が違うの？【プロバイダメールとフリーメールの設定の違い】

仕事などで以前からパソコンでメールを使っている場合、かえってスマホのメールは違いに戸惑うことがあります。「パソコン用」のメールアドレスでも、スマホのメールアプリで見ることができます。その時には、設定で「IMAP」を選ぶのがポイント。最近は、わざわざ家のパソコンを開くことも減ったから、スマホからメールを確認できると便利ね！プロバイダメールとフリーメールの違いについて、整理しておきましょう。プロバイダメールとフリーメールの区別スマートフォンのメールアプリに、GmailやYahoo...

（参考）

（補足）

OAuth (pronounced “Oh-Auth”), summarized as “your valet key for the web,” enables developers of web-enabled software to integrate with web services on behalf of a user without requiring the user to share private credentials, such as passwords, between sites. – For immediate release: OAuth Core 1.0 Specification released at Internet Identity Workshop « OAuth

目次に戻る

QRコードを読み込むと、関連記事を確認できます。