メインコンテンツへスキップ
このチュートリアルでは、PKCEを使った認可コードフローを用いて、ネイティブやモバイル、シングルページのアプリから独自のAPIを呼び出します。フローの仕組みやメリットについては、「Proof Key for Code Exchange(PKCE)を使った認可コードフロー」をお読みください。ネイティブやモバイル、シングルページのアプリケーションにログインを追加する方法については、「PKCEを使った認可コードフローを使用してログインを追加する」をお読みください。
Auth0を使用すると、以下を使用して簡単にアプリでProof Key for Code Exchange(PKCE)を使用した認可コードフローを実装することができます。

前提条件

このチュートリアルを始める前に:
  • Auth0にアプリケーションを登録します
    • アプリケーションタイプに応じて、[Native(ネイティブ)] または [Single-Page App(シングルページアプリ)][Application Type(アプリケーションタイプ)] を選択します。
    • {yourCallbackUrl}[Allowed Callback URL(許可されているコールバックURL)] を追加します。コールバックURLの形式は、使用しているアプリケーションタイプとプラットフォームによって異なります。アプリケーションタイプの形式とプラットフォームの詳細については、「Mobile/Native Quickstarts」と「Single-Page App Quickstarts」を参照してください。
    • アプリケーションの [Grant Types(付与タイプ)][Authorization Code(認可コード)] が必ず含まれていることを確認してください。詳細については、「付与タイプを更新する」をお読みください。
    • アプリケーションでリフレッシュトークンを使用できるようにするには、アプリケーションの [Grant Types(付与タイプ)][Refresh Token(リフレッシュトークン)] が含まれていることを確認してください。詳細については、「付与タイプを更新する」をお読みください。リフレッシュトークンの詳細については、「リフレッシュトークン」をお読みください。
  • APIをAuth0に登録する
    • APIがリフレッシュトークンを受信して、以前のトークンの有効期限が切れたときに新しいトークンを取得できるようにする場合は、[Allow Offline Access(オフラインアクセスの許可)] を有効にします。

ステップ

  1. Code verifier(コード検証)を作成する: トークンを要求するためにAuth0に送信されるcode_verifierを生成します。
  2. コードチャレンジを作成するauthorization_codeを要求するためにAuth0に送信されるcode_verifierからcode_challengeを生成します。
  3. ユーザーを認可する: ユーザーの認可を要求すると、authorization_codeでアプリにリダイレクトされます。
  4. トークンを要求するauthorization_codecode_verifierをトークンと交換します。
  5. APIを呼び出す: 取得したアクセストークンを使ってAPIを呼び出します。
  6. リフレッシュトークン: 既存のトークンが期限切れになったら、リフレッシュトークンを使用して新しいトークンを要求します。
任意:サンプルユースケースを参考にしてください

コードベリファイアを作成する

code_verifierを作成します。これは、トークンを要求するために最終的にAuth0に送信される、暗号的にランダムなBase64でエンコードされたキーです。

Javascriptのサンプル

Javaのサンプル

Androidのサンプル

Swift 5のサンプル

Objective-Cのサンプル

コードチャレンジを作成する

authorization_codeを要求するためにAuth0に送信されるcode_verifierからcode_challengeを生成します。

Javascriptのサンプル

Javaのサンプル

Swift 5のサンプル

Objective-Cのサンプル

ユーザーを認可する

code_verifiercode_challengeを作成したら、ユーザーの認可を取得する必要があります。技術的には、これが認可フローの始まりとなります。この手順には以下のようなプロセスが含まれます: * ユーザーを認証する。 * 認証を行うために、ユーザーをIDプロバイダーへリダイレクトする。 * アクティブなシングルサインオン(SSO)セッションを確認する。 * 以前に同意を得ていない場合は、要求された権限レベルについてユーザーの同意を得る。 ユーザーを認可するために、アプリは前のステップで生成したcode_challengecode_challengeの生成に使用したメソッドを含め、ユーザーを認可URLに送信する必要があります。

認可URLの例

パラメーター
ユーザーを認可するためにカスタムのAPIを呼び出すときは、
  • オーディエンスパラメーターを含めなければなりません。
  • ターゲットAPIでサポートされている追加のスコープを含めることができます。
たとえば、APIを呼び出す際の認可URLのHTMLスニペットは、以下のようになります。

応答

すべてが成功すると、HTTP 302応答を受け取ります。認可コードはURLの末尾に含まれます:

トークンを要求する

取得した認可コードは、トークンと交換する必要があります。前の手順で抽出した認可コード(code)を使用して、code_verifierとともに送信するトークンURLPOSTする必要があります。

トークンURLへのPOSTの例

パラメーター

応答

すべてが成功すると、access_tokenrefresh_tokenid_token、およびtoken_typeの値を含むペイロードとともに、HTTP 200の応答を受信します。
トークンは、検証してから保存します。操作方法については、「IDトークンの検証」および「アクセストークンを検証する」を参照してください。
IDトークンには、デコードして抽出する必要があるユーザー情報が含まれています。 アクセストークンは、Auth0認証APIの/userinfoエンドポイントまたは別のAPIを呼び出すために使用されます。独自のAPIを呼び出す場合にAPIが最初に行うのは、アクセストークンを検証することです。 リフレッシュトークンは、アクセストークンまたはIDトークンの期限が切れたときに、新しいトークンの取得に使用されます。refresh_tokenは、offline_accessスコープを含め、DashboardでAPIの**[Allow Offline Access(オフラインアクセスの許可)]** を有効にした場合にのみ、応答内に表示されます。
リフレッシュトークンは、ユーザーが実質的に永久に認証された状態を維持できるようにするため、安全に保管しなければなりません。

APIを呼び出す

ネイティブ/モバイルアプリケーションからAPIを呼び出すには、アプリケーションは、取得したアクセストークンをBearerトークンとしてHTTP要求の認証ヘッダーで渡さなければなりません。

リフレッシュトークン

このチュートリアルに従って次の作業を完了している場合、あなたはすでにリフレッシュ トークンを受け取っています。
  • オフラインアクセスを許可するように、APIを構成する。
  • 認可エンドポイントを通じて認証要求を開始するときに、offline_accessスコープを含める。
リフレッシュトークンを使って新しいアクセストークンを取得することができます。通常、新しいアクセストークンが必要になるのは、以前のトークンの期限が切れたときや、新しいリソースに初めてアクセスする場合に限られます。APIを呼び出すたびにエンドポイントを呼び出して新しいアクセストークンを取得するのは、良くない習慣です。Auth0は、同じIPから同じトークンを使って実行できるエンドポイントへの要求数を、レート制限を通じて調整します。 トークンを更新するには、grant_type=refresh_tokenを使用して、認証APIの/oauth/tokenエンドポイントに対してPOST要求を送信します。

トークンURLへのPOSTの例

パラメーター

応答

すべてが成功すると、新しいaccess_token、秒単位の有効期間(expires_in)、付与されたscope値、およびtoken_typeを含むペイロードとともにHTTP 200応答を受信します。最初のトークンのスコープにopenidが含まれている場合、応答には新しいid_tokenも含まれます。
トークンは、検証してから保存します。操作方法については、「IDトークンの検証」および「アクセストークンを検証する」を参照してください。

サンプルユースケース

トークンをカスタマイズする

ルールを使用して、アクセストークンで返されたスコープを変更し、クレームをアクセスとIDトークンに追加することができます。(ルールの詳細については、「Auth0ルール」をお読みください。)これを行うには、ユーザーの認証後に実行される次のルールを追加します。
すべてのルールが実行された後、トークンでスコープが使用可能になります。
Auth0は、プロファイル情報をOpenID Connect(OIDC)仕様で定義されている構造化クレーム形式で返します。つまり、IDトークンまたはアクセストークンに追加するカスタムクレームは、衝突を避けるためにガイドラインと制限に従わなければなりません

サンプルアプリケーションを表示する:モバイルアプリ + API

サンプル実装の場合、モバイル + APIアーキテクチャのシナリオを参照してください。この一連のチュートリアルには、付録にGitHubで提供されているコードのサンプルがあります。

もっと詳しく