OAuthを使用してソーシャルログインを実装することは安全ではありません( https://tools.ietf.org/html/rfc6819#section-4.4.2.6 )OAuthは認証を提供せず、承認のみを提供します。この問題は、ローカルアプリケーションが誤って、特定のアクセストークンがID情報を返すため、そのIDを持つユーザーがOAuthプロバイダーなので、ローカルアプリケーションで対応するユーザーとして認証できます。
上記とは対照的に、OIDCは認証を実行し、ローカルアプリケーションを対象とするIDトークンを返します。したがって、トークンエンドポイントから返されたときにIDトークンがすぐに使用されると想定して、IDトークンを使用してユーザーを安全に認証できますか?このアプローチに明らかなセキュリティ上の影響はありますか?
ソーシャルログインは、多数の実装オプション/アーキテクチャに相当する包括的な用語です。使用する必要がある基本的なプロトコルは、IDプロバイダーによって異なります。 OpenID Connectは、認証とid_token
はこの目的のために依存パーティによって使用できます。
...しかし、すべての主要なソーシャルプラットフォームがOpenID Connectをサポートしているわけではありません。たとえば、これを書いている時点では、FacebookログインはoAuthに基づいています。あなたが正しく指摘したように、oAuthは認証フレームワークであり、そのために緩やかなものです。そのため、FacebookはLogin forを一連のライブラリとして展開しましたおよび標準のoAuth風の承認に加えて、Facebook独自の方法で認証のユースケースをカバーします。
OpenID ConnectをサポートするGoogleのようなプラットフォームの場合、悪魔は詳細にあり、「セキュリティの影響」も含まれます。良いニュース:多くの脅威モデリング作業 すでに行われています OpenID Connectで。悪いニュース: それは複雑です 。