Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CLIでOAuth/OIDCを快適に利用する

Avatar for Hidetake Iwata Hidetake Iwata
July 09, 2018
Technology
0
920

 CLIでOAuth/OIDCを快適に利用する

Gopher Dojo #2
2018.07.09

Avatar for Hidetake Iwata

Hidetake Iwata

July 09, 2018
Tweet

More Decks by Hidetake Iwata

See All by Hidetake Iwata
Rewrite Go error handling using AST transformation
Avatar for Hidetake Iwata int128
1
1.3k
Cluster AutoscalerをTerraformとHelmfileでデプロイしてPrometheusでモニタリングする / Deploy the Cluster Autoscaler with Terraform and Helmfile, Monitor with Prometheus
Avatar for Hidetake Iwata int128
3
1.7k
認証の仕組みとclient-go credential plugin / authentication and client-go credential plugin
Avatar for Hidetake Iwata int128
7
7.6k
AppEngine × Spring Boot × Kotlin
Avatar for Hidetake Iwata int128
0
130
いつものJIRA設定
Avatar for Hidetake Iwata int128
1
200
Swaggerのテンプレートを魔改造した話 / Customize Swagger Templates
Avatar for Hidetake Iwata int128
1
4.9k
本番環境のリリースを自動化した話
Avatar for Hidetake Iwata int128
0
800
Swagger × Spring Cloud
Avatar for Hidetake Iwata int128
0
110
The Evolution of System Architecture
Avatar for Hidetake Iwata int128
0
190

Other Decks in Technology

See All in Technology
PLaMo2シリーズのvLLM実装 / PFN LLM セミナー
Avatar for Preferred Networks pfn
PRO
2
910
Pure Goで体験するWasmの未来
Avatar for asuka askua
1
170
pprof vs runtime/trace (FlightRecorder)
Avatar for task4233 task4233
0
150
生成AIを活用したZennの取り組み事例
Avatar for igarashi ryosukeigarashi
0
180
タスクって今どうなってるの?3.14の新機能 asyncio ps と pstree でasyncioのデバッグを (PyCon JP 2025)
Avatar for Junya Fukuda jrfk
1
220
AI時代だからこそ考える、僕らが本当につくりたいスクラムチーム / A Scrum Team we really want to create in this AI era
Avatar for TAKAKING22 takaking22
5
2.7k
Findy Team+のSOC2取得までの道のり
Avatar for adachi.ryo rvirus0817
0
290
Trust as Infrastructure
Avatar for Bryan Cantrill bcantrill
0
280
Goに育てられ開発者向けセキュリティ事業を立ち上げた僕が今向き合う、AI × セキュリティの最前線 / Go Conference 2025
Avatar for GMO Flatt Security flatt_security
0
320
全てGoで作るP2P対戦ゲーム入門
Avatar for ponyo877 ponyo877
3
1.3k
SwiftUIのGeometryReaderとScrollViewを基礎から応用まで学び直す:設計と活用事例
Avatar for Fumiya Sakai fumiyasac0921
0
120
データエンジニアがこの先生きのこるには...?
Avatar for 10xinc 10xinc
0
430

Featured

See All Featured
Code Review Best Practice
Avatar for Trisha Gee trishagee
72
19k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
358
30k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.8k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
339
57k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.9k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
36
2.5k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.5k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.7k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3.1k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
11
870

Transcript

  1. CLIでOAuth/OIDCを 快適に利用する Hidetake Iwata (@int128)

  2. TL;DR CLI(コマンドラインツール)でOAuthやOpenID Connectを利用する場合、 ユーザは複雑なオペレーションが必要になる 一時的にHTTPサーバを立ち上げて認可コードを受け取ることで、 ユーザのオペレーションを軽減できる

  3. Hidetake Iwata https://github.com/int128 Software Engineer at Tokyo ❤ DevOps, Agile,

    CI/CD, Kubernetes, App Engine, Golang, Gradle, Groovy

  4. CLIでOAuthやOpenID Connectを利用する場合、ユーザは複雑なオペレーションが必 要になる 1. ターミナルでコマンドを実行する 2. ターミナルに表示されたURLをブラウザで開く 3. Googleアカウントでログインする 4.

    ブラウザに表示された認可コードをコピーする 5. ターミナルに認可コードをペーストする 6. コマンドの実行結果を見る OAuth/OIDC CLIの課題 https://developers.google.com/identity/protocols/OAuth2#installed

  5. OAuth/OIDC CLIの例 $ ./upload_google_drive Open https://accounts.google.com/… Enter code: XXXXXXXXXXX... OK.

    You are logged in as int128. ① ② ③ ④ ⑤ ⑥

  6. Package golang.org/x/oauth2 config := &oauth2.Config{ ClientID: clientID, ClientSecret: clientSecret, Endpoint:

    google.Endpoint, RedirectURL: "urn:ietf:wg:oauth:2.0:oob", } authCodeURL := config.AuthCodeURL(state) fmt.Printf("Open %s\nEnter code: ", authCodeURL) var code string _, err := fmt.Scanln(&code) token, err := config.Exchange(ctx, code) ② ⑤

  7. OAuth/OIDC CLIのUX改善 ユーザのオペレーションを以下のように軽減したい 1. ターミナルでコマンドを実行する 2. ターミナルに表示されたURLをブラウザで開く 3. Googleアカウントでログインする 4.

    ブラウザに表示された認可コードをコピーする 5. ターミナルに認可コードをペーストする 6. コマンドの実行結果を見る

  8. OAuth/OIDC CLIのUX改善 ユーザのオペレーションを以下のように軽減したい 1. ターミナルでコマンドを実行する 2. (外部コマンドで自動的にブラウザを開く) 3. Googleアカウントでログインする 4.

    (ローカルHTTPサーバにリダイレクトされる) 5. (ローカルHTTPサーバが認可コードを受け取る) 6. コマンドの実行結果を見る

  9. ブラウザベースの認可コードフロー [1] https://developers.google.com/identity/protocols/OAuth2#webserver 一般的なWebアプリケーションと同様にリダイレクト で認可コードを受け取る 1. HTTPサーバを実行する 2. ブラウザで認可要求URLを開く 3.

    http://localhost へのリダイレクトで認可コード を受け取る 4. HTTPサーバを終了する 5. 認可コードとトークンを交換する

  10. codeCh := make(chan string) errCh := make(chan error) server :=

    http.Server{":8080", &AuthCodeGrantHandler{ Callback: func(code string, err error) { switch { case err != nil: errCh <- err default: codeCh <- code } } }} go func() { if err := server.ListenAndServe(); err != nil && err != http.ErrServerClosed { errCh <- err } }() select { case err := <-errCh: server.Shutdown(ctx) return "", err case code := <-codeCh: server.Shutdown(ctx) return code, nil } HTTPサーバが認可コードを受け取っ たらチャネルに送信 ゴルーチンでHTTPサーバを実行 認可コードを受け取ったらHTTPサー バをシャットダウン

  11. See Also 特定URLへのアクセスを契機としたHTTPサーバのGraceful Shutdown https://int128.hatenablog.com/entry/2018/03/28/232810 gpup: Upload files to your

    Google Photos with the new Photos Library API https://github.com/int128/gpup kubelogin: kubectl with OpenID Connect authentication https://github.com/int128/kubelogin

  12. まとめ コマンドラインツールでOAuthやOpenID Connectを利用する場合、 ユーザは認可コードの貼り付けなどの複雑なオペレーションが必要になる 一時的にHTTPサーバを立ち上げてリダイレクトで認可コードを受け取ることで、ユーザ のオペレーションを軽減できる GoのHTTPサーバ、チャネルやゴルーチンを組み合わせた実装を紹介した