最近 OAuth だの OATH だの色々出てきているので, いわゆる「認証」について 『セキュリティはなぜやぶられたのか』(Beyond Fear) を教科書に少しおさらいしてみる。 いわゆる「認証」については, 前に読書禄でも紹介している。 いわゆる「認証」を考えるとき, 私たちは以下の3つの要素の組み合わせで考える。 識別(identification): あなたは誰? 認証(authentication): 証明しろ 許可(authorization): この範囲のことはしてもよい 例えば, 運転免許証番号は識別トークン, 運転免許証の顔写真は認証トークン, 運転免許証自体は許可トークン, といった具合である。 識別・認証・許可は必ずしもセットになっている必要はない。 『セキュリティはなぜやぶられたのか』 でも例示されているが, 乗り物の乗車券やコンサートのチケットは許可トークンだ