メインコンテンツへスキップ
通常のWebアプリケーションで埋め込み型パスワードレスAPIを使用するには、[Auth0 Dashboard]>[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動して、アプリケーション設定の [Advanced Settings(高度な設定] > [Grant Types(付与タイプ)] OTP(パスワードレスOTP)] の付与を有効にしなければなりません。 通常のWebアプリケーションのパスワードレス認証は、2つのステップで構成されています。
  1. アプリケーションでユーザーIDを取得し(ユーザーのメールまたは電話番号)、 /passwordless/startエンドポイントを呼び出し、パスワードレスフローを開始します。ユーザーは、1回限り使用できるコードまたはマジックリンクが記載されたメール、SMSを受け取ります。
  2. マジックリンクを送信しなかった場合は、1回限り使用できるコードの使用をユーザーに促し、認証トークンを取得するために/oauth/tokenエンドポイントを呼び出します。
マジックリンクを使用する場合は、/oauth/tokenを呼び出す必要がないことに注意してください。ユーザーは、マジックリンクをクリックすると、アプリケーションのコールバックURLにリダイレクトされます。 以下に、様々なシナリオに対して、これらのAPIエンドポイントを呼び出すために使用できるコードスニペットをいくつか挙げます。バックエンド技術用のAuth0 SDK(たとえば、Java、.NET、Ruby、PHP、Python、 Node JS)は、これらのエンドポイントに対応するように更新されていないため、直接呼び出す必要があります。 メールで一回限り使用できるコードを送信する メールでマジックリンクを送信する send: linkを指定する必要があります。 SMSで一回限り使用できるパスワードを送信する SMSユーザーを認証する メールユーザーを認証する マジックリンクを通してユーザーを認証する マジックリンクを送信する場合、ユーザーを認証するためにAPIを呼び出す必要はありません。ユーザーはリンクをクリックすると、コールバックURLにリダイレクトされます。

レート制限目的でauth0-forwarded-forヘッダーを設定する

/passwordless/startエンドポイントは、IPごとに一時間に50要求のレート制限があります。サーバー側からAPIを呼び出す場合、バックエンドのIPがこのレート制限にすぐに達する可能性があります。この問題の対処方法については、「パスワードレスAPIの使用」のパスワードレスエンドポイントのレート制限のセクションをご覧ください。