- トークン全般
- アクセストークン
- リフレッシュトークン
- ID トークン
- 所持証明 (PoP) トークン
- 認可タイプ
- スコープ
- PKCE (RFC 7636)
-
クライアント管理
- クライアント ID の「別名」の利用
- クライアント削除時の発行済みトークンの取り扱いについて
- ユーザーが認可したクライアントの管理に関する Authlete のポリシー
- クライアント属性
- 認可リクエスト
- ユーザー認証
- エラー処理
- クライアント認証
- イントロスペクション
- Userinfo エンドポイント
- JARM
- デバイスフロー (RFC 8628)
ユーザーが認可したクライアントの管理に関する Authlete のポリシー
概要
認可サーバーは Authlete の /client/authorization/get/list API を用いることにより、あるエンドユーザーが認可しているクライアントの一覧を取得することが可能です。
このとき Authlete は、当該クライアントに対して発行したトークンについて、有効期限にかかわらず、それがデータベース内に存在する場合に、認可していると判断して一覧に含めます。
説明
Authlete は、当該アクセストークン (リフレッシュトークン) のレコードが Authlete のデータベース上に存在し続ける限り、それにひもづくクライアントの情報を返却します。データベース上に存在するかどうかは、以下の状況に応じて変わります。
アクセストークンまたはリフレッシュトークンの少なくとも一方が有効である (期限切れでない) 場合
そのアクセストークン (リフレッシュトークン) のレコードは必ずデータベース上に残っています。よって、そのトークンにひもづくクライアントの情報は必ず返却されます。
アクセストークンとリフレッシュトークンの両方が有効期限切れである場合
アクセストークンとリフレッシュトークンの両方が有効期限切れであっても、そのアクセストークン (リフレッシュトークン) のレコードが DB 上に存在すれば、そのトークンにひもづくクライアントの情報は返却されます。そのような、トークンが有効期限切れのレコードについては、以下の処理によって削除されるまではデータベース上に存在し続けます。
- そのアクセストークンをリクエストに含めて /api/auth/introspection を呼び出した場合
- バッチ削除 (クリーンアップ) 処理が実行された場合
- 明示的な削除 API (e.g. /api/client/authorization/delete API) が呼び出された場合
How did we do with this article?