ハイブリッド・フロー: スコープを制限したアクセス・トークンの発行

概要


OpenID Connect の「ハイブリッドフロー」を用いることにより、単一のクライアントに対して 2 つのアクセス・トークンを発行することが可能です。想定されるクライアントとしては、モバイル端末側のネイティブ・アプリケーションとWebサーバー側のバックエンド・アプリケーションからなる構成が挙げられます。このようなクライアントに関して、ネイティブ・アプリケーションに発行するほうのアクセス・トークンについてはスコープを制限し(リクエストされているスコープのサブセットとし)、パブリック・クライアント特有のセキュリティ・リスクを最小化することが、しばしば求められます。

Authlete 自身はスコープのサブセットを管理しません。しかしお客さまの認可サーバー・フロントエンドにおいて、Authlete に対してアクセス・トークンの発行をリクエストした後、さらに Authlete のトークン更新 API を用いることにより、スコープを狭めることが可能です。

設定例


How did we do with this article?