Skip to main content
このページは Authlete 2.x 用です。3.0 では 認証(3.0) をご覧ください。

認証(2.x)

Authlete 2.x の API は HTTP Basic 認証で保護されています。Bearer トークンではなく、API キー(サービス API キー)と API シークレットで認証し、Authlete 2.x API(api.authlete.com)へのリクエストごとにこれらを含めます。

認証の仕方

API キーをユーザー名、API シークレットをパスワードとして HTTP Basic 認証で送信します。 ヘッダー形式: 
Authorization: Basic <base64(API_KEY:API_SECRET)>
curl の例: 
curl -X POST "https://api.authlete.com/api/auth/authorization" \
  -u '<API_KEY>:<API_SECRET>' \
  -H "Content-Type: application/json" \
  -d '{"parameters": "response_type=code&client_id=..."}'
curl の -u オプションで HTTP Basic 認証として送信されます。<API_KEY><API_SECRET> を、ご利用のサービスの API キーと API シークレットに置き換えてください。

API キーと API シークレットの取得(2.x)

Authlete 2.x では、各サービスAPI キーAPI シークレット が 1 組あります。認可サーバーが Authlete を呼び出す際の識別と認証に使います。 取得手順
  1. Service Owner Console(2.x)にサインアップまたはログインする。
  2. サービスを開く(まだなければ作成する)。
  3. サービス設定で API KeyAPI Secret を確認する。
  4. コピーして安全に保管する。Basic 認証の「ユーザー名」に API キー、「パスワード」に API シークレットを使用する。
そのサービス向けの Authlete 2.x API 呼び出し(例: /auth/authorization/auth/token/auth/introspection)は、すべて同じ API キーとシークレットで行います。2.x には「サービスアクセストークン」や「組織トークン」はなく、API キーとシークレットのみです。
セキュリティ: API キーと API シークレットは秘密として扱い、バージョン管理にコミットしたりクライアント側で露出させたりしないでください。環境変数やシークレットマネージャーを利用してください。

動作確認(2.x)

次のような簡単な呼び出しで認証情報を確認できます。 
curl -s -X POST "https://api.authlete.com/api/auth/authorization" \
  -u '<API_KEY>:<API_SECRET>' \
  -H "Content-Type: application/json" \
  -d '{"parameters": "response_type=code&client_id=YOUR_CLIENT_ID&redirect_uri=https://example.com/cb"}'
<API_KEY><API_SECRET>YOUR_CLIENT_ID を、ご利用のサービスの API キー、API シークレット、およびそのサービスの有効なクライアント ID に置き換えてください。成功時は action(例: INTERACTION)と ticket が含まれたレスポンスが返ります。

2.x と 3.0 の違い

Authlete 2.xAuthlete 3.0
認証方式HTTP Basic(API キー + API シークレット)Bearer トークン(サービスまたは組織のアクセストークン)
取得先Service Owner Console(so.authlete.com)Authlete Console(console.authlete.com)— サービスまたは組織 → アクセストークン
スコープサービスごとに 1 組のキー/シークレットサービスアクセストークン(サービス単位)または組織トークン(組織全体)
3.0 の認証(Bearer トークン、サービス・組織トークン)については 認証(3.0) をご覧ください。

次のステップ