認証要求
旧
deviceパラメーターは、offline_accessスコープを渡してリフレッシュトークンを要求する場合にのみ必要です。詳細については、「リフレッシュトークン」をお読みください。
OIDC準拠
response_typeは、アクセストークンとIDトークンの両方を受け取りたいことを示します。- リフレッシュトークンは暗黙的付与では許可されていません。代わりに、
prompt=noneを使用してください。詳細については「サイレント認証を構成する」をお読みください。 favorite_colorは有効なスコープでなくなりました。audienceは任意です。nonceは暗号学的に安全なランダム文字列でなければなりません。詳細については、「暗黙フロー使用時にリプレイ攻撃を軽減する」をお読みください。
認証応答
旧
- 返されるアクセストークンは、
/userinfoエンドポイントの呼び出しに対して有効です。 - リフレッシュトークンは、
deviceパラメーターが渡され、offline_accessスコープが要求された場合にのみ返されます。
OIDC準拠
- 返されるアクセストークンは、
/userinfoエンドポイント(audienceパラメーターで指定したAPIがRS256を署名アルゴリズムとして使用していることを条件とする)と、audienceパラメーターで指定したリソースサーバー(任意)の呼び出しに対してのみ有効です。 response_type=id_tokenを使用する場合は、IDトークンのみが返されます。リフレッシュトークンは暗黙的付与では許可されていません。代わりに、prompt=noneを使用してください。
IDトークンの構造
旧
OIDC準拠
favorite_colorクレームには名前空間が存在し、ルールを通じて追加される必要があります。詳細については、「名前空間カスタムクレームを作成する」をお読みください。- IDトークンを検証したら、アプリケーションはリプレイ攻撃を軽減するためにを検証する必要があります。
アクセストークンの構造(任意)
旧
HTTP
/userinfoの呼び出しに対してのみ有効です。
OIDC準拠
- 返されるアクセストークンは、
/userinfo(audienceパラメーターで指定したAPIがRS256を署名アルゴリズムとして使用していることを条件とする)と、audienceパラメーターで指定したリソースサーバーの呼び出しに対してのみ有効です。 /userinfoが唯一指定されたオーディエンスである場合でも、不透明なアクセストークンが返されることがあります。