トークン全般

ユーザーがクライアントに付与した認可の取得・変更・取り消し

ユーザーがクライアントに付与した認可の取得・変更・取り消しを行うAPIについて紹介します。

発行済トークン情報の更新

Authleteが提供している2つのAPIについての技術情報。

トークンの有効期間の計算ロジック

Authlete のバージョンによるアクセス (リフレッシュ) トークンの有効期間秒数計算方法について解説。

トークンの有効期間のスコープ単位での制御

アクセス (リフレッシュ) トークンの有効期間をスコープ単位で制御する方法について解説。

トークンの有効期間のクライアント単位での制御

アクセス (リフレッシュ) トークンのクライアント単位での有効期間設定方法についての解説。

変更した「トークンの有効期間」が適用されるタイミング

「トークンの有効期間」の変更が適用されるタイミングについての説明。

使用されていないトークンに関する Authlete の削除ポリシー

Authleteの削除ポリシーは、90日間使用されていないアクセストークンとリフレッシュトークンを削除する。

トークン無効化ポリシー

トークン無効化ポリシーに関する技術情報です。

アクセストークン

アクセストークンの単一化

アクセストークンの発行において、アクセストークンの単一化を実現する方法について説明。

「JWT ベースのアクセストークン」の利用

Authlete における JWT 形式のアクセストークンの有効化方法と追加クレームの指定方法について説明。

トークンに任意のプロパティをひもづける方法

Authleteを使用して、アクセストークンや認可コードに任意のプロパティを関連付ける方法について解説しています。

発行済のアクセストークン一覧を取得する方法

Authlete 2.0以降で利用可能な、既に発行済のアクセストークン一覧を取得する方法について解説。

ハイブリッドフローによる 2 つのアクセストークンの発行

OpenID Connectのハイブリッドフローを使用して、異なるセキュリティリスクを持つクライアントに対してアクセストークンを発行する手法について説明します。

リフレッシュトークン

リフレッシュトークン発行の有効化

/auth/token APIを使用して、リフレッシュトークンを有効にするための設定について説明しています。

リフレッシュトークンの継続利用設定

OAuth 2.0のリフレッシュトークンを継続利用する設定に関する説明。

ID トークン

IDトークンに追加する「クレーム」の判別

IDトークンに追加する「クレーム」の指定方法と、Authleteによる判別処理の説明。

ID トークンへのクレームの追加

IDトークンにクレームを追加する方法について説明します。

ID トークンの署名鍵の変更

IDトークンの署名鍵を変更する際の手順について説明しています。

暗号化した ID トークンの生成

IDトークンを生成するための暗号化設定例を示します。

response_type に id_token が含まれている場合の注意点

response_typeにid_tokenが含まれる際の注意点についての詳細説明。

ID トークンのヘッダーへの独自クレーム追加

ID トークンの JWS ヘッダーに独自のクレームを追加する方法について説明します。

所持証明 (PoP) トークン

TLS クライアント証明書を結びつけたアクセストークンの発行

Authleteの設定手順に従って、RFC 8705で規定されたMutual-TLS certificate-bound access tokensを利用する方法について解説します。

DPoP の利用

Authlete APIを使用してRFC 9449 OAuth 2.0 Demonstrating Proof-of-Possession (DPoP)に対応する方法について説明した記事。

認可タイプ

最適な OAuth 2.0 フローの選び方

OAuth 2.0フローの中から最適な選択方法についての記事。

スコープ

スコープ属性

スコープ属性に関する技術情報と Authlete 2.0 以降での利用可能性について説明します。

エンドユーザーに認可するスコープを選択させる方法

Authlete の API を使用してエンドユーザーに認可を選択させる方法について紹介します。

「パラメーター化されたスコープ」の利用

Authleteの「パラメーター化されたスコープ」機能の利用方法について解説。

カスタムスコープの言語別説明文の登録

AuthleteのAPIを使用してカスタムスコープの言語別説明文を設定する方法についての技術情報です。

PKCE (RFC 7636)

認可リクエストにおける PKCE 利用の強制化

PKCE を利用するよう、クライアントに強制する設定を説明します。

認可リクエストでの PKCE 利用における S256 指定の強制化

コードチャレンジメソッドとして S256 を指定するよう、クライアントに強制する設定を説明します。

クライアント管理

クライアント ID の「別名」の利用

Authlete の「クライアント ID 別名 (Client ID Alias)」機能を利用して移行作業を最小限に抑える方法について。

クライアント削除時の発行済みトークンの取り扱いについて

クライアント削除時に Authlete は当該クライアントに発行済みのトークンを自動で無効化します。

ユーザーが認可したクライアントの管理に関する Authlete のポリシー

Authleteのポリシーに関するユーザーが認可したクライアントの管理方法。

クライアント属性

クライアント属性の設定方法とユースケースについて解説。

認可リクエスト

Authorization Endpoint における ticket パラメーターの特性

Authorization Endpoint における ticket パラメーターの特性に関する情報。

There is no entity having the ticket specified... というエラーに関して

Authleteが返すエラー「指定されたticketを持つエンティティが存在しません」とその2つの原因についての技術情報。

リクエストオブジェクトの利用

Authleteがリクエストオブジェクトに対応する手順の説明。

Pushed Authorization Requests (PAR)

OAuth2 フレームワークにおける強力なセキュリティ拡張「Pushed Authorization Requests (PAR)」について、PAR EPの実装方法とAuthleteにおけるサポート概要について解説。

Rich Authorization Requests (RAR)

OAuth 2.0 の提案標準である RFC 9396 に基づく、リッチオーソライゼーションリクエスト（RAR）の技術情報について。

JWT Authorization Requests support on Authlete (JAR)

Authlete での JWT 認可リクエストのサポートに関する情報です。

Resource Indicator

OAuth 2フレームワークにおける元々の認可を表現するためのメカニズムは、トークンにスコープを示すことであり、多くの企業や採用者が環境を適切に保護できるようにしました。今日、マイクロサービスアーキテクチャやデータのパーティショニングにより、グラントの対象となるリソースをリクエスト、トークン、およびインスペクションでより正確に識別する必要があります。これを解決するために、RFC 8707とまだ草案状態のRich Authorization Requestsという2つの仕様が存在します。このノートはResource Identifier仕様とAuthleteが提供するサポートについてのものです。

ユーザー認証

OAuth 認証と OpenID Connect

OAuth認証とOpenID Connectの関連性とセキュリティ対策について解説された記事。

エラー処理

fail API を用いたエラーレスポンスの生成

fail APIを使ってOAuth 2.0に準拠したエラーレスポンスを生成する方法に関する技術情報。

Authlete の result code について

Authlete APIの各種result-codeに関する情報。

error_description の日本語化

error_description の日本語化方法について述べられています。

responseContent におけるエラー詳細出力の抑制

responseContentにおけるエラー詳細出力の抑制方法についての技術情報です。

クライアント認証

クライアント認証の設定

Authlete を使用して、クライアント認証の設定方法について説明します。

client_secret_jwt によるクライアント認証

クライアント認証におけるclient_secret_jwtの処理とAuthleteの設定手順について説明されている。

private_key_jwt によるクライアント認証

Authlete によるprivate_key_jwtによるクライアント認証の処理と設定手順について説明。

tls_client_auth によるクライアント認証

AuthleteのTLSクライアント認証のしくみとサービスおよびクライアントの設定について紹介しています。

クライアント認証における制約の厳密化

Authlete 2.0 onwards has stricter validation of client type and client authentication method settings compared to Authlete 1.1 rejecting requests that were previously allowed with specific changes outlined in the article.

イントロスペクション

期限切れのアクセストークンに関するイントロスペクションの挙動

期限切れのアクセストークンに関するイントロスペクションの挙動について解説。

アクセストークンがカバーするスコープの確認

アクセストークンのスコープを確認する方法について。

Bearer errorinvalid_request という responseContent について

OAuth 2.0アクセストークンの有効性を確認する際に返ってくるresponseContent Bearer errorinvalid_requestについて。

2 種類のイントロスペクション API の使い分け

Authleteが提供する2種類のイントロスペクションAPIと、それらの使い分けについて説明。

JWT Response for OAuth Token Introspection

OAuth トークンインスペクションの JWT レスポンスに関する技術情報。

Userinfo エンドポイント

Userinfo API におけるアクセストークン検証

Userinfo APIにおけるアクセストークン検証に関する技術情報。

JARM

JARM の有効化

JARMの有効化手順について説明します。

デバイスフロー (RFC 8628)

デバイスフローの有効化

Authlete を用いたデバイスフロー対応認可サーバーの構成と設定手順について説明されている。