はじめよう
デプロイメント
OAuth および OpenID Connect
管理・運用
Financial-grade API
Authlete ホーム
ドキュメント
API リファレンス
コンソールにログイン
無償トライアル
日本語
English
日本語
Authlete ホーム
ドキュメント
API リファレンス
コンソールにログイン
無償トライアル
Authlete ナレッジベース
OAuth および OpenID Connect
イントロスペクション
トークン全般
ユーザーがクライアントに付与した認可の取得・変更・取り消し
発行済トークン情報の更新
トークンの有効期間の計算ロジック
トークンの有効期間のスコープ単位での制御
トークンの有効期間のクライアント単位での制御
変更した「トークンの有効期間」が適用されるタイミング
使用されていないトークンに関する Authlete の削除ポリシー
トークン無効化ポリシー
アクセストークン
アクセストークンの単一化
「JWT ベースのアクセストークン」の利用
トークンに任意のプロパティをひもづける方法
発行済のアクセストークン一覧を取得する方法
ハイブリッドフローによる 2 つのアクセストークンの発行
リフレッシュトークン
リフレッシュトークン発行の有効化
リフレッシュトークンの継続利用設定
ID トークン
IDトークンに追加する「クレーム」の判別
ID トークンへのクレームの追加
ID トークンの署名鍵の変更
暗号化した ID トークンの生成
response_type に id_token が含まれている場合の注意点
ID トークンのヘッダーへの独自クレーム追加
所持証明 (PoP) トークン
TLS クライアント証明書を結びつけたアクセストークンの発行
DPoP の利用
認可タイプ
最適な OAuth 2.0 フローの選び方
スコープ
スコープ属性
エンドユーザーに認可するスコープを選択させる方法
「パラメーター化されたスコープ」の利用
カスタムスコープの言語別説明文の登録
PKCE (RFC 7636)
認可リクエストにおける PKCE 利用の強制化
認可リクエストでの PKCE 利用における "S256" 指定の強制化
クライアント管理
クライアント ID の「別名」の利用
クライアント削除時の発行済みトークンの取り扱いについて
ユーザーが認可したクライアントの管理に関する Authlete のポリシー
クライアント属性
認可リクエスト
Authorization Endpoint における ticket パラメーターの特性
"There is no entity having the ticket specified..." というエラーに関して
リクエストオブジェクトの利用
Pushed Authorization Requests (PAR)
Rich Authorization Requests (RAR)
JWT Authorization Requests support on Authlete
Resource Indicator
ユーザー認証
OAuth 認証と OpenID Connect
エラー処理
"fail" API を用いたエラーレスポンスの生成
Authlete の result code について
error_description の日本語化
responseContent におけるエラー詳細出力の抑制
クライアント認証
クライアント認証の設定
client_secret_jwt によるクライアント認証
private_key_jwt によるクライアント認証
tls_client_auth によるクライアント認証
クライアント認証における制約の厳密化
イントロスペクション
期限切れのアクセストークンに関するイントロスペクションの挙動
アクセストークンがカバーするスコープの確認
Bearer error="invalid_request" という responseContent について
2 種類のイントロスペクション API の使い分け
JWT Response for OAuth Token Introspection
Userinfo エンドポイント
Userinfo API におけるアクセストークン検証
JARM
JARM の有効化
デバイスフロー (RFC 8628)
デバイスフローの有効化
期限切れのアクセストークンに関するイントロスペクションの挙動
期限切れのアクセストークンを引数として
/api/auth/introspection
API が呼び出されると、Authlete は、内部的には次の 2 つのいずれかの処理を行います。
1 回目の呼び出し: 当該アクセストークンが「期限切れ」であると判断します。この時点で当該アクセストークンの削除処理を実行します。
2 回目以降の呼び出し: 当該アクセストークンは「存在しない」と判断します。1 回目の呼び出しによって削除済みであるためです。
どちらの場合にも、
/api/auth/introspection
API のレスポンスに含まれる "action" は "UNAUTHORIZED" となります。
See also:
JavaDoc for Class IntrospectionResponse
How did we do with this article?
reaction-icon
