Skip to content

タスククライアントプロトコルの認証仕様更新 #7

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Merged
kigawa01 merged 3 commits into from
Dec 31, 2025
Merged

タスククライアントプロトコルの認証仕様更新 #7

kigawa01 merged 3 commits into from
Dec 31, 2025

Conversation

@kigawa01
Copy link
Member

@kigawa01 kigawa01 commented Dec 31, 2025

概要

タスククライアントプロトコルの認証方式をOIDCトークンを使用したHTTPヘッダ認証に変更し、別途の認証メッセージを削除しました。

背景・目的

プロトコルのセキュリティ強化と通信プロセスの簡素化のため、WebSocket接続確立時にHTTPヘッダでOIDC認証を行う方式を採用します。これにより、接続後の別途認証メッセージが不要となり、プロトコルがより効率的になります。

変更内容

  • 認証方式をHTTPヘッダによるOIDCトークン認証に変更
  • メッセージタイプ分類から認証メッセージを削除
  • 接続確立フェーズで認証をWebSocket接続時に統合
  • セキュリティセクションのトークン記述をOIDCに更新

確認方法

  1. spec/task-client-protocol.md を開いて変更内容を確認
  2. 接続確立フェーズの記述がHTTPヘッダ認証に変更されていることを確認
  3. メッセージタイプに認証が含まれていないことを確認

その他

Keycloakを使用したOIDC認証の既存実装との互換性を確認してください。

@kigawa01
Copy link
Member Author

kigawa01 commented Dec 31, 2025

@claude pr

@claude
Copy link

claude bot commented Dec 31, 2025
edited
Loading

Claude finished @kigawa01's task in 1m 17s —— View job

PRレビュー完了

  • 変更ファイルの読み込みと内容確認
  • 認証仕様変更の整合性チェック
  • レビューフィードバックの作成

レビュー結果

✅ 良い点

  1. 認証方式の簡素化: WebSocket接続確立時にHTTPヘッダでOIDC認証を行うことで、接続後の別途認証メッセージが不要になり、プロトコルがより効率的になりました。

  2. 一貫性のある更新:

    • メインドキュメント(task-client-protocol.md)での認証方式の説明が適切に更新されています
    • メッセージタイプ分類から「認証」が正しく削除されています(L55)
    • 接続確立フェーズの記述が簡潔になりました(3ステップ→3ステップだが内容が整理)

  3. セキュリティセクションの更新: 「JWT トークン」から「OIDC トークン」へ適切に更新されています(L147)

⚠️ 問題点と改善提案

1. 重大な問題: 認証メッセージの削除漏れ

spec/task-client-protocol-details.md L11-20 に認証メッセージの例が残っています:

{
  "type": "authenticate",
  "token": "<jwt-token>",
  "clientType": "provider",
  "clientVersion": "1.0.0",
  "capabilities": ["kubernetes", "docker", "local"]
}

推奨対応: このセクション全体を削除するか、HTTPヘッダによる認証方法の説明に置き換える必要があります。現在の状態では、ドキュメント内に矛盾が生じています。

2. HTTPヘッダ認証の実装詳細が不足

認証方式を変更したにもかかわらず、以下の重要な情報が欠けています:

  • どのHTTPヘッダを使用するのか(例: Authorization: Bearer <token>
  • OIDCトークンの形式や要件
  • WebSocket接続時のヘッダ設定例

推奨対応: task-client-protocol-details.md の接続確立セクションに、HTTPヘッダ認証の具体的な実装例を追加してください。

例:

#### HTTPヘッダによる認証
WebSocket接続時に以下のヘッダを設定:

Authorization: Bearer 


#### 3. **エラーフィールドの整理に関する疑問**

`task-client-protocol-details.md` でエラーメッセージから以下のフィールドが削除されていますが、これらは有用な情報ではないでしょうか?

- `exitCode`: タスクの終了コードは診断に重要
- `retryable`: エラーが再試行可能かどうかの情報
- `status`: エラー状態の明示

**推奨対応**: これらのフィールド削除が意図的であれば、その理由をPR説明またはコミットメッセージに記載することを推奨します。もし不要な削除であれば、復元を検討してください。

#### 4. **ワークフローのコメントアウト**

`.github/workflows/claude-code-review.yml` L4-5 でワークフローがコメントアウトされていますが、これは意図的でしょうか?

**推奨対応**: 
- 意図的であれば問題ありません
- 一時的な措置であれば、別のPRで処理することを推奨します(このPRの主旨と異なるため)

### 📋 チェックリスト

以下の点を確認してください:

- [ ] `task-client-protocol-details.md` L11-20 の認証メッセージセクションを削除または更新
- [ ] HTTPヘッダ認証の実装詳細(ヘッダ名、形式、例)を追加
- [ ] エラーフィールド削除の意図を確認
- [ ] Keycloak OIDC実装との互換性テスト

### 🎯 総評

認証方式の変更自体は良い方向性ですが、ドキュメント内の矛盾を解消し、実装詳細を追加することで、より完成度の高い仕様書になります。特に「認証メッセージの削除漏れ」は必ず対応してください。

---

@kigawa01
Fix authentication documentation: remove authentication message examp…
dbdf286 
…le and add HTTP header authentication details
@kigawa01 kigawa01 merged commit 029d33d into main Dec 31, 2025
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

2 participants

@kigawa01