アクセストークンの単一化

Authleteは、あるクライアントからの認可リクエストに対してあるユーザーが認可を行う (/auth/authorization/issue API を、subject の値を変えずに呼ぶ)たびに、新たなアクセストークンを発行します。

Authlete のデフォルト設定では、この発行に際して、過去に発行済のトークンの無効化は行いません。そのためクライアントには、あるユーザーが繰り返し認可した結果として、有効なアクセストークンが同時に複数個提供されることになります。

認可サーバーの要件上、このような複数発行を行わない場合には、Authlete のサービスオーナーコンソールにて「Single Access Token Per Subject」を選択します。すると Authlete は、新たにアクセストークンを発行すると同時に、以前発行したアクセストークンの無効化を行います。これにより、クライアントとユーザーの組ごとに、有効なアクセストークンを最新の 1 つのみとすることが可能です。
How did we do with this article?