このページは Authlete 3.0 用です。2.x では 認証(2.x) をご覧ください。2.x では Bearer トークンではなく API キーと API シークレット(HTTP Basic 認証)を使用します。
認証
すべての API エンドポイントは Bearer トークン認証で保護されています。リクエストごとにアクセストークンを含める必要があります。アクセストークンの取得
サービスアクセストークン
単一のサービス(1 つの認可サーバーインスタンス)にスコープされます。ランタイム API(認可・トークン・イントロスペクション)や、そのサービスのクライアント・設定の管理に使用します。 サービスアクセストークンの取得手順- Authlete コンソールにログインする。
- 対象のサービスが属する組織を開き、トークンを作成したいサービスを開く。
- サービス → 設定 → アクセストークン に進む。
- トークンを作成 をクリックし、必要な権限を選択する(例:
service.read、client.write)。 - 生成されたトークンをすぐにコピーする — 表示は一度だけです。環境変数やシークレットマネージャーなど、安全な場所に保存する。
そのサービス向けの Authlete API を呼び出す際は、Authorization: Bearer <token> ヘッダーにこのトークンを含めてください。
組織トークン
組織全体にスコープされます。組織レベルの管理や、複数サービスにまたがる API(自動化・CI/CD・Terraform など)で使用します。 組織トークンの取得手順- Authlete コンソールにログインする。
- トークンを作成する組織を開く(まだなければ先に作成する)。
- 組織設定 → アクセストークン に進む。
- トークンを作成 をクリックし、必要な組織レベルの権限を選択する。
- 生成されたトークンをすぐにコピーする — 表示は一度だけです。安全に保管する。
組織レベルのアクセスが必要な Authlete API を呼び出す際は、Authorization: Bearer <token> ヘッダーにこのトークンを含めてください。
トークンの使い分け
| 用途 | トークン種別 |
|---|---|
| OAuth/OIDC ランタイム(認可・トークン・イントロスペクション) | サービスアクセストークン |
| 単一サービスの管理(クライアント・エンドポイント・設定) | サービスアクセストークン |
| 組織または複数サービスの管理 | 組織トークン |
| サービスの作成・更新を行う自動化 / CI/CD | 組織トークン |
トークンのセキュリティのベストプラクティス
- トークンをバージョン管理にコミットしない — 環境変数やシークレットマネージャー(AWS Secrets Manager、HashiCorp Vault など)に保存する。
- 定期的にローテーションする — 新しいトークンを発行し、古いトークンはコンソールから無効化する。
- 必要最小限の権限を付与する — トークン作成時にアプリケーションに必要な権限だけをリクエストする。
- 未使用のトークンは無効化する — 使わなくなったトークンはコンソールから削除する。
動作確認
次の API 呼び出しでトークンが有効か確認できます。us.authlete.com を該当するクラスターのホスト(例:eu.authlete.com、jp.authlete.com)に置き換えてください。
次のステップ
- はじめに — アカウント・組織・サービスを作成する。
- サンプル認可サーバーのセットアップ — サービスとサービスアクセストークンを作成し、デモ認可サーバーを動かす(3.0)。2.x は JavaでのAuthlete API入門(2.x)。
- クライアント認証の設定 — OAuth クライアントが認可サーバーに認証する方法。