本講演ではJava中級者をターゲットとし、OpenID Connect 1.0とSpring Securityについて解説しました。

講演目次
１．OAuth2.0の復習と「OAuth認証」の問題点
２．Open ID Connect 1.0 による認証
３．Spring Security での利用
４．まとめ

多田はまず、「認証」と「認可」の違いといった基本的な概念の確認から入り、OAuth2.0の概要、OAuthで使われるアクセストークンの種類、アクセストークンを利用したリソースアクセスのフローなどについて丁寧に説明していきました。
そしてOAuthでは、悪意のある第三者に向けに発行されたアクセストークンに差し替えられてもクライアントは気付けないという問題について指摘しました。

次にOIDCの概要とフローについて解説し、Spring Securityで作成したアプリを用いて、簡単なデモも行いました。 OIDCで使われるIDトークンの中身についても、重要な属性の説明や、それぞれどのような用途で使われるかを紹介していきました。 途中で、自らがOIDCについて調べていくうちに浮かんだ疑問を提示する場面もあり、聴講者が詰まりそうなポイントに寄り添いながら講演を進めていきました。 最後にSpring Securityでの利用について解説し、クラス構造の概観から必要なライブラリ、設定ファイルの書き方、実際のコーディング例まで紹介していきました。

多田は講演の終わりに、「今回の内容は、背景や "なぜ" の理解が難しい」と述べました。
「OIDC、Spring Security自体は難しくないが、なぜOAuth認証では問題があるのか？それに対し、OIDCのどの機能が、その問題のどこをカバーしているのか、それはなぜカバーできていると言えるか？を理解するのが難しい。オプショナルな仕様も膨大なので、この講演でどこまで紹介するのかも迷ったが、講演を聞いてくれた人たちの何か役に立てれば嬉しい」と述べ、参考になった関連書籍やブログ、ガイドなどを示しました。
多田の講演内容には多くの人が共感し、Twitterでは多田の発言や参考情報などを活発にシェアする様子が見られました。

バーチャルブースでは、Ask The Speakerと以下4つのミニセッションを行いました。

・クラウドネイティブの全体像を理解しよう
・CI/CD・パイプライン Jenkinsを使用したデモ：CI～ゼロダウンタイムのデプロイ
・今こそ知りたいSpring DI×AOP
・OAuth 2.0 with Spring Security

ミニセッショへご参加いただいたり、遊びに来てくださったりと、様々な交流を持つことができ嬉しい時間となりました。
「クラウドネイティブの全体像を理解しよう」と「Jenkinsを使用したデモ」は、6/20（日）までオンデマンドで配信中です！