[server] Implement authorizer interface.

[mizosukedev]

• 現在認証機能が無い。認証機能を追加するインターフェースはある。
• 何らかの認証機能を提供する。できればオープンな仕様が良い。

[mizosukedev]

• 自分用のサーバーをクラウドにデプロイした時に認証機能は必要。
• だが、認証機能を自分で作りたくない。
• 後から容易に交換できるようにしたい。

というのが目的。

[mizosukedev]

外部認証する仕組みとしてはoauth2/openid connectが代表的か。 oauth2 だとresource owner password credentials grantなら簡単に実装できるし使いやすいと思ったが、セキュリティ的な問題がありoauth2.1で削除されるとのこと。 なぜ問題かというのは現状の理解では下記の通り。

• 認証まで取り決めてしまっていて、ユーザー/パスワード認証しか無い。
• ユーザー/パスワードをアプリが読み取れてしまう。
• 本来oauthは認可のとこしか決めてないはずなんだがレガシーアプリ向けに残されたものである。

Authorization code grant使え！というのが解なのだが、この方式だとブラウザが必須になるのでcurlだけでやるのがちょっと厳しいかもしれない。

[mizosukedev]

Cognitoでユーザープールを作成後に、AuthorizerインターフェースをAuthorization code grantで実装してみた。 トークン取得までは簡単にいけた。 現状理解出来ていないのは、

• 認可サーバーから取得した認可コードとトークンはどこで保存するもの？tunneld?それともクライアント(=ブラウザ)に返しちゃう？
  • もしtunneld内で管理するんだったらクライアントとの間にはセッションを作らないといけないよね？
  • クライアントに返すとしたら、WebAPI呼ぶ度にTokenとRefresh Tokenをtunneldに送ることになるのかな？
• トークンの有効性を検証する為のイントロスペクションエンドポイントがCognitoに見つからない。そもそも無いのか、使い方や理解が間違っているのか？

[mizosukedev]

golangでオープンなoauth2実装

• https://github.com/ory/hydra
• https://github.com/dexidp/dex

別にgoじゃなくてもいいんだけどね。 自分でクラウドに環境作る時はきっとCognitoにするのではなかろうか。