このページは Authlete 2.x 向けのドキュメントです。3.0 の内容はOAuth 2.0 Basics(3.0)をご覧ください。
はじめに
このドキュメントでは、OAuth 2.0 の Authorization Code Grant Flow に対応した認可サーバーを構築する際の、Authlete 2.x API(api.authlete.com)の基本的な利用方法について説明します。
構成(2.x)
本チュートリアルでは、認可サーバーとリソースサーバーは実際には存在せず、クライアントから認可リクエスト・トークンリクエスト・トークンイントロスペクションリクエストを受信したときに、どのような API リクエストを Authlete に行うかを curl で試行します。| サービス | FQDN |
|---|---|
| Authlete API | api.authlete.com |
| 管理者コンソール | so.authlete.com |
| 開発者コンソール | cd.authlete.com |
| 認可サーバー(想定) | as.example.com |
| クライアント(想定) | client.example.org |
認可コードグラントフローの流れ(2.x)
- 認可リクエスト — クライアントが
response_type=codeで認可リクエストを送信。認可サーバーは/auth/authorizationAPI にパラメーターを送り、action=INTERACTIONとticketを取得。 - ユーザー認証とアクセス権限付与の確認 — 認可サーバーがユーザーを認証し、クライアントへのアクセス権限付与の確認を行う。
- 認可コードの発行 —
/auth/authorization/issueAPI にticketとsubjectを送り、認可コード付きのリダイレクト URI を取得。 - トークンリクエスト — クライアントが認可コードでトークンエンドポイントにリクエスト。認可サーバーは
/auth/tokenAPI を呼び、アクセストークン・リフレッシュトークンを取得。 - トークンイントロスペクション — リソースサーバーは
/auth/introspectionAPI でアクセストークンを検証。
環境設定(2.x)
チュートリアル「サインアップから Authlete サービス作成までの手順」に従い、新規 Authlete サービスの作成とクライアント登録を行います。クライアントタイプCONFIDENTIAL、リダイレクト URI、クライアント認証方式 CLIENT_SECRET_BASIC などを設定します。