Table of Contents
Authlete の「パラメーター化されたスコープ (parameterized scopes)」機能を利用すると、スコープ文字列の一部を可変にできます。本記事では「パラメーター化されたスコープ」を利用する方法について説明します。
本機能は Authlete 2.2 以降でのみ利用可能になります。
「パラメーター化されたスコープ」は、通常の固定文字列のスコープに対して特別なスコープ属性を設定することで利用できます。設定は以下の手順で行います。1. スコープ属性の設定画面を開きます。(詳細な手順は「スコープ属性 」をご覧ください。)2. 「属性のキー」に、 “regex”(「パラメーター化されたスコープ」を示す固定値)を指定します。3. 「属性の値」に、可変値を含むスコープ文字列にマッチする正規表現を指定します。
以下の例では、“consent” スコープに対し、可変値を含むスコープ文字列にマッチする正規表現として “^consent:.*$” を指定しています。この場合 Authlete は、“consent” スコープだけではなく、“consent:urn:bancoex:C1DD33123” のような、スコープ属性として設定した正規表現にマッチする値も、有効なスコープとして受け入れます。
認可リクエストの “scope” パラメーターに「パラメーター化されたスコープ」が含まれている場合の、Authlete の /auth/authorization API のリクエスト・レスポンスの例を以下に示します。
$ curl -s -X POST https://api.authlete.com/api/auth/authorization \
-u ...:... \
-H 'Content-type: application/json' \
-d '{"parameters":
"redirect_uri=...
&client_id=...
&response_type=code
&scope=email+consent:urn:bancoex:C1DD33123"}
'
{
"type": "authorizationResponse",
"resultCode": "A004001",
"resultMessage":
"[A004001] Authlete has successfully issued a ticket
to the service (API Key = 2407...) for the
authorization request from the client (ID = 2614...).
[response_type=code, openid=false]",
"action": "INTERACTION",
"dynamicScopes": [
{
"name": "consent",
"value": "consent:urn:bancoex:C1DD33123"
}
],
"scopes": [
{
"defaultEntry": false,
"description": "A permission to request an OpenID Provider to include the email claim and the email_verified claim in an ID Token. See OpenID Connect Core 1.0, 5.4. for details.",
...
"name": "email"
}
],
...
スコープ属性の “value” に設定されている正規表現にマッチしたスコープは、レスポンスの “dynamicScopes” 配列に含まれます。この配列の、“name” フィールドにはスコープ名が、“value” フィールドには実際に “scope” リクエストパラメーターで指定されたスコープ文字列が、それぞれ設定されます。
アクセストークンが特定の「パラメーター化されたスコープ」を持つかどうかは、固定文字列のスコープの場合と同様の方法により確認できます。以下は Authlete の /auth/introspection API のリクエスト・レスポンスの例です。
curl -s -X POST .../auth/introspection \
-u ...:... \
-H 'Content-type: application/json' \
-d '{"token":"L2sOx9...","scopes":["email","consent:urn:bancoex:C1DD33123"]
}'
{
"type": "introspectionResponse",
"resultCode": "A056001",
"resultMessage": "[A056001] The access token is valid.",
"action": "OK",
"clientId": ...,
"expiresAt": ...,
"responseContent": "Bearer error=\"invalid_request\"",
"scopes": [
"email",
"consent:urn:bancoex:C1DD33123"
],
"subject": "testuser01",
...
}
/auth/introspection API を利用したトークンが持つスコープの確認の詳細については「アクセストークンがカバーするスコープの確認 」をご覧ください。
「パラメーター化されたスコープ」は、ディスカバリードキュメントにおいてはスコープ名のみ表示されます。以下は Authlete の /service/configuration API のレスポンスの例です。
{
"issuer": "...",
"authorization_endpoint": "...",
"token_endpoint": "...",
"userinfo_endpoint": "...",
"jwks_uri": "...",
"scopes_supported": [
"address",
"email",
"openid",
"offline_access",
"phone",
"profile",
"consent"
],
...
}