アクセストークンの単一化

Authleteは、あるクライアントからの認可リクエストに対してあるユーザーが認可を行う (/auth/authorization/issue API を、“subject” の値を変えずに呼ぶ）たびに、新たなアクセストークンを発行します。

Authlete のデフォルト設定では、この発行に際して、過去に発行済のアクセストークンの無効化は行いません。そのためクライアントには、あるユーザーが繰り返し認可した結果として、有効なアクセストークンが同時に複数個提供されることになります。

認可サーバーの要件上、このような複数発行を行わない場合には、Authlete のサービスオーナーコンソールにて「アクセストークン単一化」を「有効」にします。

「有効」にすると、Authlete は、新たにアクセストークンを発行すると同時に、以前発行したアクセストークンとそれらに紐づくリフレッシュトークンを無効化します。これにより、クライアントとユーザーの組ごとに、有効なアクセストークンを最新の 1 つのみとすることが可能です。