分かりやすくするために、実装では認証と認可に焦点をあてています。サンプルからも分かるとおり、入力のタイムシートエントリーはハードコードされるため、APIはタイムシートエントリーを保持しません。代わりに、情報の一部をエコーバックします。
APIエンドポイントの定義
APIエンドポイントとは
APIエンドポイントはたとえば、レストランAPIには
/ordersや/customersなどのエンドポイントがあるかもしれません。このAPIに接続するアプリケーションは、関連するHTTPメソッド(POST、GET、PUT、PATCH、DELETE)を使ってAPIエンドポイントを呼び出すことにより、CRUD操作(作成、読み取り、更新、削除)を実行することができます。/timesheetsエンドポイントへのHTTP GET要求は、ユーザーがタイムシートを取得できるようにし、/timesheetsへのHTTP POST要求は、ユーザーが新たなタイムシートを追加できるようにします。
Node.js
エンドポイントのセキュリティ確保
Missing or invalid tokenという呼び出し元アプリへのエラーメッセージとともに拒否されなければなりません。
APIは以下の検証を実行すべきです。
- が整形式であることを確認する
- 署名を確認する
- 標準クレームを検証する
JWT.ioは、JWTの解析から署名・クレームの検証まで、ほとんどの作業に役立つライブラリーのリストを提供します。
クライアントの権限の確認
ユーザーIDの判断
subクレームです。暗黙的付与フローの場合、このクレームにはAuth0ユーザーの一意の識別子であるIDが含まれます。これを使って、外部システムのいかなる情報でも、特定ユーザーに関連付けることができます。
また、カスタムクレームを使って、メールアドレスなど別のユーザー属性をアクセストークンに追加し、ユーザーを一意に識別することもできます。
Node.js
モバイルアプリの実装
code_challengeおよび生成するために使用するメソッドと一緒に、ユーザーを認可URLに送信する必要があります。
認可URLへのGET要求は、以下の値を含める必要があります。
| パラメーター | 説明 |
|---|---|
| client_id | Auth0クライアントIDの値です。Auth0 Dashboardにあるアプリケーションの設定から取得できます。 |
| audience | API識別子の値です。Auth0 DashboardにあるAPIの設定から取得できます。 |
| scope | IDトークンとアクセストークンで返されるクレームを決定するスコープ です。たとえば、openidスコープではIDトークンが返されます。提供しているモバイルアプリの例では、次のスコープを使用しています:create:timesheets read:timesheets openid profile email offline_access。これらのスコープによって、モバイルアプリはAPIを呼び出し、を取得して、IDトークンでユーザーのname、picture、emailクレームを返すことができます。 |
| response_type | 使用する認証フローです。PKCEを使用するモバイルアプリケーションの場合は、これをcodeに設定します。 |
| code_challenge | コード検証が生成したコードチャレンジです。コードチャレンジの生成方法については、こちらを参照してください。 |
| code_challenge_method | チャレンジの生成方法です。Auth0はS256のみに対応しています。 |
| redirect_uri | ユーザーが認可された後に、Auth0がブラウザーをダイレクトするURLです。認可コードはURLパラメーターのcodeにあります。このURLは、有効なコールバックURLとしてアプリケーションの設定で指定されなければなりません。 |
資格情報の取得
認可コードをAPIを呼び出すのに使用するアクセストークンと交換します。以下のデータを含めて、トークン URLへのPOST要求を実行します。
| パラメーター | 説明 |
|---|---|
| grant_type | authorization_codeに設定する必要があります。 |
| client_id | Auth0クライアントIDの値です。これは、Auth0 Dashboardにあるアプリケーションの[Settings(設定)]で取得できます。 |
| code_verifier | 認可URL(/authorize)に渡すcode_challengeの生成に使用された暗号的にランダムなキーです。 |
| code | 前回の認可呼び出しで受け取ったauthorization_codeです。 |
| redirect_uri | 前のセクションで/authorizeに渡されたredirect_uriとURLが一致しなければなりません。 |
- access_token :
audienceで指定されたAPIのアクセストークン - refresh_token :リフレッシュトークンは、
offline_accessスコープを含め、DashboardでAPIの**[Allow Offline Access(オフラインアクセスの許可)]** を有効にした場合にのみ表示されます。 - id_token :ユーザープロファイル情報が入ったIDトークンJWT
- token_type :トークンのタイプを含む文字列で、常にベアラートークンです。
- expires_in :アクセストークンの有効期限が切れるまでの秒数。
ユーザープロファイルの取得
スコープに基づいた条件付きUI要素の表示
scopeに基づいて、特定のUI要素を表示または非表示にしたい場合があります。ユーザーに発行されたスコープを特定するには、ユーザーが認証されたときに付与されたscopeを調べる必要があります。これは、すべてのスコープを含んでいる文字列であるため、この文字列を調べて必要なscopeが含まれているかどうかを調べる必要があります。そしてそれに基づいて、特定のUI要素を表示するかどうかを決定できます。
Androidでの実装を参照してください
APIの呼び出し
Bearerスキームを使用して、Authorizationヘッダー内でアクセストークンを送る必要があります。
Androidでの実装を参照してください。
トークンの更新
/oauth/tokenエンドポイントへのPOST要求を実行します。
リフレッシュトークンは、offline_accessスコープを先行の認可要求に含め、DashboardでAPIの**[Allow Offline Access(オフラインアクセスの許可)]** を有効にした場合にのみ表示されます。
要求には以下を含める必要があります。
| パラメーター | 説明 |
|---|---|
| grant_type | refresh_tokenに設定する必要があります。 |
| client_id | Auth0クライアントIDの値。これはAuth0 Dashboardにある[Application(アプリケーション)]の[Settings(設定)]で取得できます。 |
| refresh_token | 前回の認証結果から使用するリフレッシュトークン。 |