- Auth0 Mobile SDKとAuth0 Single-Page App SDK:フローを実装する最も簡単な方法です。難しくて手間がかかる作業のほとんどが処理されます。Mobile QuickstartsとSingle-Page App Quickstartsでこのプロセスについて説明しています。
- 認証API:独自のソリューションを構築したい場合は、このまま読み続けて、APIを直接呼び出す方法を学習してください。
/userinfoエンドポイントや独自の保護されたAPIを呼び出すのに使用することができます。IDトークンの詳細については、「IDトークン」をお読みください。アクセストークンの詳細については、「アクセストークン」をお読みください。
前提条件
アプリをAuth0に登録する必要があります。詳細については、「ネイティブアプリケーションを登録する」または「シングルページWebアプリケーションを登録する」をお読みください。- アプリケーションタイプに応じて、[Native(ネイティブ)] または [Single-Page App(シングルページアプリ)] の [Application Type(アプリケーションタイプ)] を選択します。
YOUR_CALLBACK_URLの [Allowed Callback URL(許可されているコールバックURL)] を追加します。コールバックURLの形式は、使用しているアプリケーションタイプとプラットフォームによって異なります。アプリケーションタイプの形式とプラットフォームの詳細については、「Mobile/Native Quickstarts」と「Single-Page App Quickstarts」を参照してください。- アプリケーションの [Grant Types(付与タイプ)] に [Authorization Code(認可コード)] が必ず含まれていることを確認してください。詳細については、「付与タイプを更新する」をお読みください。
コードベリファイアを作成する
code_verifierを作成します。これは、トークンを要求するために最終的にAuth0に送信される、暗号的にランダムなBase64でエンコードされたキーです。
code_verifierを作成するアルゴリズムの詳細については、 Proof Key for Code Exchange仕様の「4.1 Client Creates a Code Verifier(クライアントがコード検証を作成)」セクションをお読みください。
Javascriptのサンプル
Javaのサンプル
Androidのサンプル
Swift 5のサンプル
Objective-Cのサンプル
コードチャレンジを作成する
authorization_codeを要求するためにAuth0に送信されるcode_verifierからcode_challengeを生成します。
code_challengeがcode_verifierからどのように派生するかの詳細については、OAuth Proof Key for Code Exchange仕様の「4.2 Client Creates the Code Challenge(クライアントがコードチャレンジを作成)」セクションをお読みください。
Javascriptのサンプル
Javaのサンプル
Swift 5のサンプル
Objective-Cのサンプル
ユーザーを認可する
ユーザーの認可を要求すると、authorization_codeでアプリにリダイレクトされます。
code_verifierとcode_challengeを作成したら、ユーザーの認可を取得する必要があります。技術的には、これが認可フローの始まりとなります。この手順には以下のようなプロセスが含まれます:
* ユーザーを認証する。
* 認証を行うために、ユーザーをIDプロバイダーへリダイレクトする。
* アクティブなシングルサインオン(SSO)セッションを確認する。
* 以前に同意を得ていない場合は、要求された権限レベルについてユーザーの同意を得る。
ユーザーを認可するために、アプリは前のステップで生成したcode_challengeとcode_challengeの生成に使用したメソッドを含め、ユーザーを認可URLに送信する必要があります。
認可URLの例
パラメーター
たとえば、アプリにログインを追加する際の認可URLのHTMLスニペットは、以下のようになります。
Response (レスポンス)
すべてが成功すると、HTTP 302応答を受け取ります。認可コードはURLの末尾に含まれます:
トークンを要求する
authorization_codeとcode_verifierをトークンと交換します。
取得した認可コードは、トークンと交換する必要があります。前の手順で抽出した認可コード(code)を使用して、code_verifierとともに送信するトークンURLにPOSTする必要があります。
トークンURLへのPOSTの例
パラメーター
Response (レスポンス)
すべてが成功すると、access_token、refresh_token、id_token、およびtoken_typeの値を含むペイロードとともに、HTTP 200の応答を受信します。
refresh_tokenは、offline_accessスコープを含め、DashboardでAPIの [Allow Offline Access(オフラインアクセスの許可)] を有効にした場合にのみ、応答内に表示されます。
ユースケース
基本的な認証要求
この例では、手順1でユーザーを認可する際に行う最も基本的な要求について説明します。Auth0のログイン画面を表示して、構成されている接続でユーザーがサインインできるようにします。 トークンを要求する際に、IDトークンには最も基本的なクレームが含まれます。IDトークンをデコードする際には、以下のようになります。ユーザーの名前とプロファイルの写真を要求する
通常のユーザー認証に加えて、この例では名前や写真など、追加のユーザー詳細情報を要求する方法について説明します。 ユーザーの名前や写真を要求するには、ユーザーを認可する際に、適切なスコープを追加する必要があります。 トークンを要求する際に、IDトークンには要求された名前と写真のクレームが含まれます。IDトークンをデコードする際には、以下のようになります。GitHubでのユーザーログインを要求する
通常のユーザー認証に加えて、この例では、ユーザーをGitHubなどのソーシャルIDプロバイダーへ直接送る方法について説明します。この例を利用するには、[Auth0 Dashboard] > [Authentication(認証)] > [Social(ソーシャル)]に移動して、適切な接続を構成する必要があります。[Settings(設定)] タブから接続名を取得します。 ユーザーをGitHubのログイン画面へ直接送るには、connectionパラメーターを渡して、ユーザー認可時にその値を接続名(この場合はgithub)に設定します。
トークンを要求する際に、IDトークンにはGitHubから返されたユーザーの一意のIDを含むsubクレームが含まれます。IDトークンをデコードする際には、以下のようになります。