一人Web開発 Season.2～第5夜 認証・認可の検討

前回、HTTPサーバの検証をしたので、それに続いて認証・認可の仕組みを検討することにした。
が、正直全然分からん。。

普通のJavaEEだとJAASとかあって、web.xmlに色々書いて認証・認可ができるようになるのは前にも調べたことがある。
ユーザID/パスワードによるBasic認証であったりForm認証であったりが選択できる。

Web APIの場合はどうするんだろうかなぁと調べていたところ、OAuth 2.0が本命のように見えてきた。
OAuth自体は認可プロトコルで、この上に作られたOpen ID Connectというのが認証プロトコルとしてある模様。
IDプロバイダとサービスプロバイダ、クライアントの間で認証のやり取りをし、アクセストークンを払い出して利用可能にするらしい。

分かったのはざっくりこんなことくらい。。
この分野はとても弱いので頑張って勉強いたします。
なにか分かりやすいサンプルがあってくれると助かるなぁ。。