ユーザーが認可したクライアントの管理に関する Authlete のポリシー

ユーザーが認可したクライアントの管理に関する Authlete のポリシー

概要

認可サーバーは Authlete の /client/authorization/get/list API を用いることにより、あるエンドユーザーが認可しているクライアントの一覧を取得することが可能です。

このとき Authlete は、当該クライアントに対して発行したトークンについて、有効期限にかかわらず、それがデータベース内に存在する場合に、認可していると判断して一覧に含めます。

説明

Authlete は、当該アクセストークン (リフレッシュトークン) のレコードが Authlete のデータベース上に存在し続ける限り、それにひもづくクライアントの情報を返却します。データベース上に存在するかどうかは、以下の状況に応じて変わります。

アクセストークンまたはリフレッシュトークンの少なくとも一方が有効である (期限切れでない) 場合

そのアクセストークン (リフレッシュトークン) のレコードは必ずデータベース上に残っています。よって、そのトークンにひもづくクライアントの情報は必ず返却されます。

アクセストークンとリフレッシュトークンの両方が有効期限切れである場合

アクセストークンとリフレッシュトークンの両方が有効期限切れであっても、そのアクセストークン (リフレッシュトークン) のレコードが DB 上に存在すれば、そのトークンにひもづくクライアントの情報は返却されます。そのような、トークンが有効期限切れのレコードについては、以下の処理によって削除されるまではデータベース上に存在し続けます。