メインコンテンツへスキップ
ネイティブやモバイル、シングルページのアプリケーションにログインを追加するのに、PKCEを使った認可コードフローを活用することができます。フローの仕組みやメリットについては、「Proof Key for Code Exchange(PKCE)を使った認可コードフロー」をお読みください。ネイティブやモバイル、シングルページのアプリケーションからAPIを呼び出す方法については、「PKCEを使った認可コードフローで独自のAPIを呼び出す」をお読みください。 Proof Key for Code Exchange(PKCE)を使った認可コードフローを実装するには、以下のリソースを使用することができます。 ログインに成功すると、アプリケーションがユーザーのIDトークンとアクセストークンにアクセスします。IDトークンには基本的なユーザープロファイル情報が含まれています。アクセストークンはAuth0の/userinfoエンドポイントや独自の保護されたAPIを呼び出すのに使用することができます。IDトークンの詳細については、「IDトークン」をお読みください。アクセストークンの詳細については、「アクセストークン」をお読みください。

前提条件

アプリをAuth0に登録する必要があります。詳細については、「ネイティブアプリケーションを登録する」または「シングルページWebアプリケーションを登録する」をお読みください。
  • アプリケーションタイプに応じて、[Native(ネイティブ)] または [Single-Page App(シングルページアプリ)][Application Type(アプリケーションタイプ)] を選択します。
  • YOUR_CALLBACK_URL[Allowed Callback URL(許可されているコールバックURL)] を追加します。コールバックURLの形式は、使用しているアプリケーションタイプとプラットフォームによって異なります。アプリケーションタイプの形式とプラットフォームの詳細については、「Mobile/Native Quickstarts」と「Single-Page App Quickstarts」を参照してください。
  • アプリケーションの [Grant Types(付与タイプ)][Authorization Code(認可コード)] が必ず含まれていることを確認してください。詳細については、「付与タイプを更新する」をお読みください。

コードベリファイアを作成する

code_verifierを作成します。これは、トークンを要求するために最終的にAuth0に送信される、暗号的にランダムなBase64でエンコードされたキーです。 code_verifierを作成するアルゴリズムの詳細については、 Proof Key for Code Exchange仕様の「4.1 Client Creates a Code Verifier(クライアントがコード検証を作成)」セクションをお読みください。

Javascriptのサンプル

Javaのサンプル

Androidのサンプル

Swift 5のサンプル

Objective-Cのサンプル

コードチャレンジを作成する

authorization_codeを要求するためにAuth0に送信されるcode_verifierからcode_challengeを生成します。 code_challengecode_verifierからどのように派生するかの詳細については、OAuth Proof Key for Code Exchange仕様の「4.2 Client Creates the Code Challenge(クライアントがコードチャレンジを作成)」セクションをお読みください。

Javascriptのサンプル

Javaのサンプル

Swift 5のサンプル

Objective-Cのサンプル

ユーザーを認可する

ユーザーの認可を要求すると、authorization_codeでアプリにリダイレクトされます。 code_verifiercode_challengeを作成したら、ユーザーの認可を取得する必要があります。技術的には、これが認可フローの始まりとなります。この手順には以下のようなプロセスが含まれます: * ユーザーを認証する。 * 認証を行うために、ユーザーをIDプロバイダーへリダイレクトする。 * アクティブなシングルサインオン(SSO)セッションを確認する。 * 以前に同意を得ていない場合は、要求された権限レベルについてユーザーの同意を得る。 ユーザーを認可するために、アプリは前のステップで生成したcode_challengecode_challengeの生成に使用したメソッドを含め、ユーザーを認可URLに送信する必要があります。

認可URLの例

パラメーター

たとえば、アプリにログインを追加する際の認可URLのHTMLスニペットは、以下のようになります。

Response (レスポンス)

すべてが成功すると、HTTP 302応答を受け取ります。認可コードはURLの末尾に含まれます:

トークンを要求する

authorization_codecode_verifierをトークンと交換します。 取得した認可コードは、トークンと交換する必要があります。前の手順で抽出した認可コード(code)を使用して、code_verifierとともに送信するトークンURLPOSTする必要があります。

トークンURLへのPOSTの例

パラメーター

Response (レスポンス)

すべてが成功すると、access_tokenrefresh_tokenid_token、およびtoken_typeの値を含むペイロードとともに、HTTP 200の応答を受信します。
トークンは、検証してから保存します。操作方法については、「IDトークンの検証」および「アクセストークンを検証する」を参照してください。
IDトークンには、デコードして抽出する必要があるユーザー情報が含まれています。 アクセストークンは、Auth0認証APIの/userinfoエンドポイントまたは別のAPIを呼び出すために使用されます。独自のAPIを呼び出す場合にAPIが最初に行うのは、アクセストークンを検証することです。 リフレッシュトークンは、アクセストークンまたはIDトークンの期限が切れたときに、新しいトークンの取得に使用されます。refresh_tokenは、offline_accessスコープを含め、DashboardでAPIの [Allow Offline Access(オフラインアクセスの許可)] を有効にした場合にのみ、応答内に表示されます。
リフレッシュトークンは、ユーザーが実質的に永久に認証された状態を維持できるようにするため、安全に保管しなければなりません。

ユースケース

基本的な認証要求

この例では、手順1でユーザーを認可する際に行う最も基本的な要求について説明します。Auth0のログイン画面を表示して、構成されている接続でユーザーがサインインできるようにします。 トークンを要求する際に、IDトークンには最も基本的なクレームが含まれます。IDトークンをデコードする際には、以下のようになります。

ユーザーの名前とプロファイルの写真を要求する

通常のユーザー認証に加えて、この例では名前や写真など、追加のユーザー詳細情報を要求する方法について説明します。 ユーザーの名前や写真を要求するには、ユーザーを認可する際に、適切なスコープを追加する必要があります。 トークンを要求する際に、IDトークンには要求された名前と写真のクレームが含まれます。IDトークンをデコードする際には、以下のようになります。

GitHubでのユーザーログインを要求する

通常のユーザー認証に加えて、この例では、ユーザーをGitHubなどのソーシャルIDプロバイダーへ直接送る方法について説明します。この例を利用するには、[Auth0 Dashboard] > [Authentication(認証)] > [Social(ソーシャル)]に移動して、適切な接続を構成する必要があります。[Settings(設定)] タブから接続名を取得します。 ユーザーをGitHubのログイン画面へ直接送るには、connectionパラメーターを渡して、ユーザー認可時にその値を接続名(この場合はgithub)に設定します。 トークンを要求する際に、IDトークンにはGitHubから返されたユーザーの一意のIDを含むsubクレームが含まれます。IDトークンをデコードする際には、以下のようになります。

もっと詳しく