4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

【Auth0】アプリケーションからWeb API向けのアクセストークン(JWT形式)を取得する

Posted at

はじめに

Auth0では管理画面のAPIsメニューに登録した独自のWebAPI向けのアクセストークンを取得できます。
Auth0が発行するWebAPI向けのアクセストークンはJWT形式となっていて、WebAPIからAuth0に問い合わせなくてもユーザーIDなどの情報をアクセストークンから取得できるようになっています。
本記事ではM2MではなくAuth0の認証機能を組み込んだアプリケーションを利用するユーザー用のWebAPI向けアクセストークンを取得する方法を紹介します。

事前準備

アプリケーションとAPIの関連付け

Auth0の管理画面でアプリケーションとAPIの登録と関連付けをします。
本記事では事前に用意したMy AppというRegular Web ApplicationとSample APIという名前のAPIを例として使用します。

Sample APIの設定画面を開いてMy AppのトグルスイッチをON(AUTHORIZED)にします。

スクリーンショット 2020-07-27 17.04.30.png

すると、権限(Permissions)を設定する画面が表示されます。

スクリーンショット 2020-07-27 17.05.12.png

しかしこの画面で設定する権限はアプリケーション自体が持つ権限のことを指していてユーザーの権限とは異なるものになります。
ユーザー用のアクセストークンを取得する時には設定不要です。

アプリケーションとAPIの関連付けが不要なケース

関連付けを行う画面の上部にも書いてありますが、アプリケーションのタイプがSPAやNativeの場合はここで明示的に関連付けを行わなくてもAPI向けのアクセストークンを取得することができます。
SPAやNativeなどのPublicクライアントに分類されるアプリケーションはログインフローの中でクライアント認証が行われないのでAPIとの紐付けを保証することができないため設定が不要になっていると思われます。

JWT形式のアクセストークン取得

ログイン時のパラメーター

ログイン時のリクエストにaudienceパラメーターとしてAPIのIdentifierを設定するとログイン処理の完了時にJWT形式のアクセストークンが取得できます。
Auth0のAPI仕様に記載されていた内容にaudienceの値を設定したものを例として以下に記載します。
Auth0のSDKを使う場合でも同じようにログイン処理のパラメーターにaudienceを追加してください。

GET https://YOUR_DOMAIN/authorize?
  audience=https://example.com/&
  scope=SCOPE&
  response_type=code&
  client_id=YOUR_CLIENT_ID&
  redirect_uri=https://YOUR_APP/callback&
  state=STATE

本記事では扱いませんが、もしもログインするユーザーにRoleやPermissionなどを付与していれば、このリクエスト時のscopeパラメーターにその値を含めることでアクセストークンに権限の情報を含めることができます。
ユーザーのRoleやPermissionの設定については機会があればまた別記事で紹介したいと思います。

アクセストークンのペイロード

ここまでの設定がうまくいけばJWT形式のアクセストークンが取得できます。
取得したアクセストークンのペイロード部分をデコードすると以下のような情報を含んだjsonが取得できます。

{
  "iss": "https://YOUR_DOMAIN/",
  "sub": "auth0|5f14f3b8afdb6c0.........",
  "aud": [
    "https://example.com",
    "https://YOUR_DOMAIN/userinfo"
  ],
  "iat": 1595848832,
  "exp": 1595935232,
  "azp": "IuEp7tQh9GQ1zh.........",
  "scope": "openid"
}

このアクセストークンを受け取るWebAPI側ではJWTの署名やissの値を検証して正統なユーザーからのアクセスかを判断します。また、audienceにAPIのIdentifierの値が設定されてるかを検証することで、自分自身向けに発行されたアクセストークンかを判断することができます。

subがユーザーIDを表しているため、この値をキーとしてWebAPI側でユーザーのデータを保存しておけば、アクセストークンに含まれる情報だけでユーザーのデータの出し入れができるようになります。

おわりに

アプリケーションからログインユーザー用の独自WebAPI向けアクセストークンを取得する方法を紹介しました。
要件によってはJWT形式のアクセストークンのほうが扱いやすいこともあると思うので試してみてください。

4
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?