Table of Contents
Authlete では、/auth/revocation API を使って特定のアクセストークン(またはリフレッシュトークン)を削除した場合、そのアクセストークンに紐づくリフレッシュトークン(またはそのリフレッシュトークンに紐づくアクセストークン)も同時に削除します。
クライアントからリボケーションリクエストを受け取った認可サーバーは、そのリクエストの内容を “parameters” パラメーターに格納し、Authlete の /auth/revocation API を呼びだすことになります。
RFC 7009 で定義されているように、クライアントからのリボケーションリクエストは下記のパラメーターから構成されます。
| パラメーター | 条件 | 値 |
|---|---|---|
| token | REQUIRED | 無効化しようとしているアクセストークンまたはリフレッシュトークンの値。 |
| token_type_hint | OPTIONAL | 無効化しようとしているトークンの種類のヒント。access_token または refresh_token。 |
/auth/revocation API が呼び出されたとき、Authlete は token_type_hint の値からトークンの種類を推定し、最初にその種類を対象にトークンデータベースを検索します。もし見つからなかった場合には、次に別の種類についても検索を行います。
つまり Authlete は、token_type_hint をレコードの検索順を決定するために利用 します。アクセストークンまたはリフレッシュトークンの一方のみを削除する、といった動作にはなりません 。
以下に動作の詳細を示します。
| token_type_hint | 検索順 | 削除されるトークン |
|---|---|---|
| なし | アクセストークンのレコードを検索した後、リフレッシュトークンのレコードを検索。token の値に一致するレコードがあった場合、当該トークンを削除。 | アクセストークンおよびリフレッシュトークン |
| access_token | 同上 | 同上 |
| refresh_token | リフレッシュトークンのレコードを検索した後、アクセストークンのレコードを検索。token の値に一致するレコードがあった場合、当該トークンを削除。 | 同上 |