認証と認可 (OAuth, JWT)

Webセキュリティの要、認証（Authentication）と認可（Authorization）の違いと実装パターンについて。

OAuth 2.0 / OpenID Connect

パスワードを直接扱わず、GoogleやGitHubなどの外部プロバイダに認証を委ねる仕組みです。

• Access Token: 特定のプロソースへのアクセス許可
• ID Token: ユーザー情報の証明

JWT (JSON Web Token)

ステートレスな認証によく使われるトークン形式です。

• メリット: サーバー側にセッションを持つ必要がない（スケーラブル）。
• 注意点: XSS攻撃による盗難リスクがあるため、HttpOnly な Cookie に保存するなどの対策が必要です。

セキュリティを理解することは、ユーザーのデータを守るという「エンジニアとしての責任」を果たすことに他なりません。