OAuth 2.0とは？仕組み・安全性・使い方を初心者向けに徹底解説

OAuth 2.0は、新しいパスワードを作成せずにアプリやウェブサイトへログインできる標準規格です。たとえば「Googleでログイン」「Facebookでログイン」「GitHubでログイン」などのボタンをクリックするだけで、複数のサービスへ簡単にアクセスできるのは、この仕組みのおかげです。

この際、あなたのパスワードが第三者サービスへ渡ることはありません。代わりに安全なトークンの仕組みが使われます。この記事では、OAuth 2.0の仕組みや安全性、そしてどのように使われているのかを分かりやすく解説します。

OAuth 2.0とは？シンプルな説明

OAuth 2.0は、他のサービスにパスワードを渡さずに、限定的なデータアクセス権を与える方法です。

例を挙げると：

• あるサイトで「Googleでログイン」をクリックする
• そのサイトはGoogleのパスワードを知りませんし、受け取ることもありません
• 代わりにGoogleが「このサイトにあなたのメールアドレスや名前へのアクセスを許可しますか？」と確認します
• 同意すると、Googleがそのサイトにアクセス用の「トークン」を発行します。このトークンで許可した範囲のデータのみアクセスできます

OAuthが必要な理由

以前は、各ウェブサイトごとに：

• 新規アカウント作成
• パスワードの考案・保存（しばしば安全でない方法）

が必要でした。OAuthは以下の問題を解決します：

• ワンクリックで簡単にログインできる
• パスワード漏洩リスクが下がる
• データへのアクセス権を自分で管理できる

認証（Authentication）と認可（Authorization）の違い

• 認証：あなたが「誰か」を確認（ログイン）
• 認可：あなたが「何をできるか」（データへのアクセス権）

OAuth 2.0は主に認可の仕組みです。実際にはGoogleログインなど他技術と組み合わせて使われます。

OAuthの利用シーン

• GoogleやFacebook、Appleでのログイン
• SNS経由でアプリの認可
• Telegramボットや外部アプリのアカウント接続
• サービス間のAPI連携

Googleログインはなぜパスワードを渡さないのか？

「Googleでログイン」を押しても、サイトがあなたのログインIDやパスワードを受け取ることはありません。パスワードはGoogleだけが保有します。

OAuth 2.0の実際の流れ

1. サイトがあなたをGoogleのログインページへリダイレクト
2. パスワードはGoogleでのみ入力
3. Googleがアクセス許可を確認
4. 同意後、サイトに特別なトークンを発行

つまり、サイトはパスワード入力の工程に一切関与しません。

OAuth 2.0の安全性

• パスワードはGoogleのみに保存
• 外部サイトには限定的なアクセス権のみ
• いつでもアクセス権を取り消せる

万が一外部サービスがハッキングされても、パスワードは漏洩しません。トークンもすぐに無効化できます。

サイトが取得できる情報

• ユーザー名
• メールアドレス
• プロフィール写真
• その他許可したデータ

許可内容は必ず事前に表示されます。

パスワードの代わりとなるトークン

• アクセストークン（access token）：データへのアクセス権を持つ鍵
• リフレッシュトークン（refresh token）：アクセス権の更新用（必要な場合）

「パスワード」ではなく「制限付き・一時的な許可」を渡す仕組みです。

注意すべき点

• 偽のログイン画面（フィッシング）
• 過剰な権限を要求する怪しいアプリ
• 信頼できないサイトでのログイン

ログインページのURLが「google.com」かどうか必ず確認しましょう。

OAuth 2.0の仕組み：ステップごとに解説

「Googleでログイン」を押した時の裏側の流れを見ていきます。関係する4者：

• ユーザー（あなた）
• クライアント（サイトやアプリ）
• 認可サーバー（Google）
• リソースサーバー（GoogleのAPI）

ステップ1：Googleの認可ページへリダイレクト

• サイトがGoogle認可ページへあなたを送ります
• リクエストには「誰が」「何のデータを」「どこへ戻すか」等の情報が含まれます

ステップ2：アクセス許可の確認

• Googleがアカウントと許可リスト（メール、プロフィール等）を表示
• 許可・拒否はユーザーが選択

同意なしにアクセス許可は与えられません。

ステップ3：認可コードの発行

• 同意した場合、Googleはその場でデータアクセスを許可せず、一時的な「認可コード」をサイトに返します

認可コード自体には利用価値はなく、中間段階です。

ステップ4：アクセストークンの取得

• サイトが認可コードをGoogleサーバーへ送信し、アクセストークン・リフレッシュトークン（必要に応じて）を受け取る

ステップ5：ユーザーデータへのアクセス

• アクセストークンを利用し、メールアドレスや名前、アバターなど許可した内容だけにアクセス

OAuthの基本原理

• ユーザーはGoogleを信頼
• Googleはユーザーが許可した場合のみアプリに信頼を付与
• アプリは限定的なアクセス権のみ取得

これによって利便性と安全性を両立しています。

アクセストークンとリフレッシュトークンとは

OAuth 2.0でログイン後、サイトはパスワードを受け取らず、トークンでやり取りします。

アクセストークン：主なアクセス鍵

一時的な鍵で、アプリがユーザーデータへアクセス可能になります。

• メールアドレスや名前の取得
• Google Drive、Gmail等APIの利用

特徴：

• 有効期限が短い（例：1時間）
• 権限が限定的
• いつでも無効化可能

あたかも一時的な通行証のようなものです。

リフレッシュトークン：アクセス延長

アクセストークンの有効期限が切れても、リフレッシュトークンを使えば再度新しいアクセストークンを自動取得できます。

• ユーザーが再ログインしなくてもOK

なぜ2種類のトークンが必要か

• アクセストークンは短命→リスク低減
• リフレッシュトークンは通常サーバーで安全に保存
• パスワードの再入力が不要

万一アクセストークンが漏洩しても、すぐに無効化されます。

トークンの保存場所

• アクセストークン：一時的にクライアント側
• リフレッシュトークン：サーバー側（安全に保管）

アクセス権の取り消し方法

• Googleアカウントの設定画面から、連携アプリの一覧やアクセス権の削除が可能
• 削除後は全トークンが無効化

覚えておくべきポイント

• パスワードは渡さない
• 期間限定のアクセス（アクセストークン）
• 延長メカニズム（リフレッシュトークン）

正しく実装されたGoogleログインは非常に安全です。

主なOAuth 2.0フローの種類

OAuth 2.0は一つの仕組みではなく、用途に応じて複数の「フロー（flow）」が存在します。

Authorization Code Flow：標準かつ最も安全

Googleログインなどで最も一般的に使われます。

• ユーザーが認証
• アプリが認可コードを取得
• サーバーがアクセストークンに交換

安全な理由：

• トークンが直接ブラウザに渡らない
• サーバーサイドで検証
• 追加セキュリティ（PKCE等）が可能

ウェブ・モバイルアプリで標準的に採用されています。

Implicit Flow：古い手法

サーバーを持たないSPA（シングルページアプリ）向けでした。

• アクセストークンが即時ブラウザに渡る

デメリット：

• ブラウザにトークンが残るため漏洩リスクが高い
• セキュリティが弱い

現在は非推奨です。

Client Credentials Flow：サーバー間通信

ユーザー介在せず、サーバー同士のAPI通信で使われます。

• サーバーが自身の認証情報でトークンを取得
• 自分自身の名義でAPIへアクセス

マイクロサービスやバックエンド統合、自動化で利用されます。

フローの違いを理解する理由

• ユーザーログイン→Authorization Code Flow
• サーバー間連携→Client Credentials Flow
• 古いSPA→Implicit Flow（廃れつつある）

Googleログインはほぼ常にAuthorization Code Flowです。

OAuth 2.0とOpenID Connectの違い

OAuth 2.0は「ログインのための技術」と誤解されがちですが、実際は「データへのアクセス許可」の仕組みです。

OAuthはなぜログイン機能そのものではないのか

• OAuth 2.0は「このアプリにユーザーデータへのアクセスを許すか？」を判断
• 「この人が誰か？」の証明は行わない

OpenID Connectの役割

OpenID Connect（OIDC）はOAuth 2.0に認証機能を追加した拡張規格です。IDトークンを発行し、

• ユーザーの識別子
• 属性情報
• ログイン済みの証明

をアプリへ渡します。

OAuthとOpenID Connectの連携

• OAuth 2.0：データのアクセス権を付与
• OpenID Connect：ユーザーの本人確認

両者を組み合わせることで、安全かつ便利なログインが実現します。

シンプルな例え

• OAuth：ドアの鍵（アクセス権）
• OpenID Connect：パスポート（本人証明）

現代のサービスは両方を併用しています。

OAuth 2.0のセキュリティ

OAuth 2.0は正しく実装されれば非常に安全です。しかし、ユーザー側の注意も必要です。

パスワードが渡らない理由

• パスワードはGoogle側だけで入力・保存
• 第三者サイトは一切取得・保存しない

これにより：

• データベース漏洩リスク減
• パスワードの傍受防止
• 複数サイトで使い回し防止

サービスがハッキングされても、Googleアカウント自体への直接被害はありません。

限定的なアクセス権

• 各アプリは必要な権限のみリクエスト
• メールアドレスやファイル、カレンダー等

許可リストはログイン前に必ず確認できます。

有効期限付きトークン

• アクセストークンは短期間のみ有効
• リフレッシュトークンはサーバーで管理・延長用

万が一漏洩しても被害は限定的です。

実際のリスク

1. フィッシング：Google風の偽ログインページ
2. 怪しいアプリ：過剰な権限要求
3. 安全でない実装：開発者のミスによるトークン漏洩等

自分の身を守るポイント

• ログインページのURLを必ず確認（google.com）
• 知らないサービスにアクセス権を与えない
• 定期的に連携アプリの一覧をチェック
• 二段階認証を利用する

OAuthが本当に安全なのはどんな時？

• 公式サービスで使う場合
• 実在する大手プロバイダー（Google, Apple等）を利用
• どんなデータにアクセス権を与えるか理解している

OAuth自体は万能ではありませんが、正しく使えば非常に安全な認可方法です。

OAuth 2.0の実生活での利用例

OAuth 2.0は今やインターネットの標準です。日々さまざまなサービスで利用しています。

SNSとワンクリックログイン

• 「Googleでログイン」
• 「Facebookでログイン」
• 「Appleでログイン」

新規アカウント作成やパスワード管理が不要で、即サービス利用が可能です。ウェブ・アプリ・ゲームまで広く使われています。

アプリ・サービス

• メモアプリ
• クラウドストレージ
• CRMや業務ツール
• オンラインエディタ

例：Google Drive連携でファイル保存など。

API・サービス連携

• Telegramボットがユーザーデータへアクセス
• 分析サービスがGoogle Analyticsへ接続
• カレンダー同期アプリ

OAuthによって安全なデータ連携が可能になります。

企業システム

• シングルサインオン（SSO）
• 従業員のアクセス管理
• 社内サービスの統合

業務効率化とセキュリティ向上に役立っています。

OAuthが標準となった理由

• ユーザーにとって便利
• パスワードを渡さない安全性
• 柔軟なアクセス権管理
• ウェブからAPIまで幅広く対応

現代のほぼすべてのサービスでOAuth 2.0または類似技術が利用されています。

まとめ

OAuth 2.0は現代インターネットの認可・認証の基礎です。パスワードを共有せず、限定的なアクセス権だけを与えることで、ユーザーにもサービスにも安全性と利便性を両立させています。

Googleでのログイン、アプリ連携、オンラインサービスの利用など、日常的に活用されています。大切なのは、どのサービスにどんなアクセス権を与えているかを意識し、信頼できるサービスだけに許可を与えることです。

よくある質問（FAQ）

Googleログインは安全ですか？

はい、公式サイトで本物のGoogleログイン画面であれば安全です。

サイトにパスワードが知られることはありますか？

いいえ、パスワードはGoogleのみが管理し、外部サイトへ渡りません。

アプリにアクセス権を与えてしまった場合は？

Googleアカウント設定からいつでも連携解除できます。

OAuthと通常のログインの違いは？

通常ログインはIDとパスワードを直接入力、OAuthは外部サービス経由でパスワードを渡しません。