このチュートリアルでは、ハイブリッドフローを使用して独自のAPIをを呼び出します。フローの仕組みやメリットについては、「ハイブリッドフロー」を参照してください。
- Authentication API:独自のソリューションを構築したい場合は、このまま読み続けて、APIを直接呼び出す方法を学習してください。
前提条件
このチュートリアルを始める前に:-
Auth0にアプリケーションを登録します。
- 適切な [Application Type(アプリケーションタイプ)] を選択します。
{https://yourApp/callback}の [Allowed Callback URL(許可されているコールバックURL)] を追加します。- アプリケーションの [Grant Types(付与タイプ)] に [Implicit(暗黙的)] と [Authorization Code(認可コード)] が必ず含まれていることを確認してください。詳細については、「付与タイプを更新する」をお読みください。
- アプリケーションでリフレッシュトークンを使用できるようにするには、アプリケーションの [Grant Types(付与タイプ)] に [Refresh Token(リフレッシュトークン)] が含まれていることを確認してください。詳細については、「付与タイプを更新する」をお読みください。リフレッシュトークンの詳細については、「リフレッシュトークン」をお読みください。
-
APIをAuth0に登録する
- APIがリフレッシュトークンを受信して、以前のトークンの有効期限が切れたときに新しいトークンを取得できるようにする場合は、[Allow Offline Access(オフラインアクセスの許可)] を有効にします。
ステップ
- ユーザーを認可する: ユーザーの認可を要求し、認可コードと一緒にアプリにリダイレクトします。
- トークンを要求する: 認可コードをトークンと交換します。
- APIを呼び出す: 取得したアクセストークンを使ってAPIを呼び出します。
- リフレッシュトークン: 既存のトークンが期限切れになったら、リフレッシュトークンを使用して新しいトークンを要求します。
ユーザーを認可する
この手順には、以下のようなプロセスが含まれます。- ユーザーを認証する
- 認証を行うために、ユーザーをIDプロバイダーへリダイレクトする
- 有効なシングルサインオン()セッションを確認する
- 以前に同意を得ていない場合は、要求された権限レベルについてユーザーの同意を得る
認可URLの例
パラメーター
ユーザーを認可するためにカスタムのAPIを呼び出すときは、- オーディエンスパラメーターを含めなければなりません。
- ターゲットAPIでサポートされている追加のスコープを含めることができます。
たとえば、アプリにログインを追加する際の認可URLのHTMLスニペットは、以下のようになります。
応答
すべてが成功すると、HTTP 302応答を受け取ります。要求された資格情報は本文にエンコードされます。
response_typeとして何を要求したかによって異なります。
Auth0は、認可URLへの呼び出しに含めた状態値も返します。
IDトークンをデコードして解析すると、
c_hashという追加のクレームが含まれていることがわかります。これにはcodeのハッシュが含まれています。このクレームは、IDトークンがcodeと同時に発行される場合に必須であり、検証する必要があります。
- IDトークンのヘッダー内の
algクレームで指定されたハッシュアルゴリズムを使用して、codeのASCII表現のオクテットをハッシュ化します。 - ハッシュの左半分をBase64urlエンコードします。
- 結果が
c_hashの値と一致することを確認します。
トークンを要求する
取得した認可コードは、トークンと交換する必要があります。前の手順で抽出した認可コード(code)を使用して、トークンURLにPOSTする必要があります。
このステップで受け取るアクセス トークンは、APIを呼び出す際に使用します。このトークンは、チュートリアルの前のステップで受け取ったアクセストークンとは別に保管するようにしてください。
トークンURLへのPOSTの例
パラメーター
応答
すべてが成功すると、access_token、fresh_token、id_token、およびtoken_typeの値を含むペイロードとともにHTTP 200応答を受信します。
refresh_tokenは、offline_accessスコープを含め、DashboardでAPIの**[Allow Offline Access(オフラインアクセスの許可)]** を有効にした場合にのみ、応答内に表示されます。
APIを呼び出す
通常のWebアプリケーション(または同様のケースで、アプリケーションの資格情報を安全に保存できる場合)からAPIを呼び出すには、アプリケーションは、取得したアクセストークンをベアラートークンとしてHTTP要求の認可ヘッダーで渡さなければなりません。リフレッシュトークン
このチュートリアルに従って次の作業を完了している場合、あなたはすでにリフレッシュ トークンを受け取っています。- オフラインアクセスを許可するように、APIを構成する。
- 認可エンドポイントを通じて認証要求を開始するときに、
offline_accessスコープを含める。
grant_type=refresh_tokenを使用して、認証APIの/oauth/tokenエンドポイントに対してPOST要求を送信します。
トークンURLへのPOSTの例
パラメーター
応答
すべてが成功すると、新しいaccess_token、秒単位の有効期間(expires_in)、付与されたscope値、およびtoken_typeを含むペイロードとともにHTTP 200応答を受信します。最初のトークンのスコープにopenidが含まれている場合、応答には新しいid_tokenも含まれます。