概要
認可サーバーは Authlete の /client/authorization/get/list API を用いることにより、あるエンドユーザーが認可しているクライアントの一覧を取得することが可能です。 このとき Authlete は、当該クライアントに対して発行したトークンについて、有効期限にかかわらず、それがデータベース内に存在する場合に、認可していると判断して一覧に含めます。説明
Authlete は、当該アクセストークン (リフレッシュトークン) のレコードが Authlete のデータベース上に存在し続ける限り、それにひもづくクライアントの情報を返却します。データベース上に存在するかどうかは、以下の状況に応じて変わります。アクセストークンまたはリフレッシュトークンの少なくとも一方が有効である (期限切れでない) 場合
そのアクセストークン (リフレッシュトークン) のレコードは必ずデータベース上に残っています。よって、そのトークンにひもづくクライアントの情報は必ず返却されます。アクセストークンとリフレッシュトークンの両方が有効期限切れである場合
アクセストークンとリフレッシュトークンの両方が有効期限切れであっても、そのアクセストークン (リフレッシュトークン) のレコードが DB 上に存在すれば、そのトークンにひもづくクライアントの情報は返却されます。そのような、トークンが有効期限切れのレコードについては、以下の処理によって削除されるまではデータベース上に存在し続けます。- そのアクセストークンをリクエストに含めて /api/auth/introspection を呼び出した場合
- バッチ削除 (クリーンアップ) 処理が実行された場合
- 明示的な削除 API (e.g. /api/client/authorization/delete API) が呼び出された場合