その「ソーシャルログイン」は大丈夫?OAuth/OIDC実装の3つの落とし穴

代表の小竹(aka tkmru)です。 「Googleでログイン」などのソーシャルログインは、今やWebサービスの標準機能です。 この機能は一般的に、認可の仕組みであるOAuthの上に、ユーザーの身元確認を行うためのOpenID Connect(OIDC)というプロトコルを重ねることで実現されています。 RFC 9700(Best Current Practice for O…