認可リクエストやトークンリクエストのパラメーターの取り扱い

基本的に、認可サーバーの認可エンドポイントおよびトークンエンドポイントが受け付けたリクエストのパラメーターについては、何も変更せずに そのまま Authlete API に渡してください。

たとえば、認可リクエストに含まれている scope の値のチェックを、Authlete に任せるだけではなく認可サーバーでも行いたい、としましょう。その場合、認可サーバーは /auth/authorization API を呼び出す前にチェックを実施するべきではありません。代わりに、認可リクエストのクエリパラメーターをそのまま同 API の paramaters の値として指定してください。そして API レスポンスの scopes パラメーターに含まれる、Authlete によって検証された結果をチェックしてください。

逆に、/auth/authorization API や /auth/token API を呼び出す前にパラメーターの検証・操作を行ってしまうと、Authlete の OAuth / OpenID Connect プロトコル処理やエラーチェックの機能を十分に活用できなくなる場合があります。また OAuth / OpenID Connect を十分に理解しないまま独自の前処理を行うことにより、これらの標準仕様に準拠しない、そして最悪の場合にはセキュリティが損なわれた認可サーバーとなってしまう可能性もあります。