Auth0は、認証要求に応えてアクセストークンまたはIDトークンを発行します。アクセストークンを使うと、セキュアなAPIへの認証済み呼び出しができます。IDトークンには、ユーザープロファイル属性がクレーム形式で含まれています。両方とも(JWT)なので、Documentation Index
Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
Use this file to discover all available pages before exploring further.
expクレームを使用して有効期限が示され、署名などのセキュリティ対策が講じられています。通常は、ユーザーがリソースに初めてアクセスするか、または前に付与されたアクセストークンの期限が切れた場合に、新しいアクセストークンが必要になります。
のリフレッシュトークンは資格情報アーティファクトであり、OAuthは、これを使うことでユーザーによる介入なしに新しいアクセストークンを取得することができます。その結果、認可サーバーはセキュリティの強化を目的にアクセストークンの有効期間を短くでき、アクセストークンの期限が切れてもユーザーの操作を必要としません。リフレッシュトークンがDenyList(拒否リスト)に載るまでは、新しいアクセストークンを要求できます。
資格情報を安全・確実に管理するために、リフレッシュトークンの数を妥当に管理できる範囲内に抑えることが大切です。リフレッシュトークンによってユーザーをほぼ永続的に認証済みの状態で維持できるため、アプリケーションはリフレッシュトークンを安全に保管しなければなりません。
オフラインアクセス
ユーザーがオフラインでリフレッシュトークンを取得できるようにするには、[API Settings(APIの設定)]にある [Allow Offline Access(オフラインアクセスの許可)] を選択します。
制限事項
OIDCフラグの有効化
- アプリの [OIDC Conformant(OIDC準拠)] フラグを有効にする
audienceクレームをAuthentication APIの/authorizeエンドポイントに渡す
SDKサポート
Webアプリの場合
- Node.js
- ASP.NET Core
- PHP
- Java
シングルページアプリの場合
ネイティブ/モバイルアプリの場合
- Mobile/Native Quickstarts(モバイル/ネイティブクイックスタート)
- Lock Android: Refresh JWT Tokens(Lock Android:JWTトークンのリフレッシュ)
- Lock iOS: Save and Renew JWT Tokens(Lock iOS: JWTトークンの保存と更新)