メインコンテンツへスキップ
POST /oauth/token アウトオブバンド (OOB) チャレンジ (プッシュ通知、SMS、または音声通話) を使用して多要素認証 (MFA) を検証します。OOB チャレンジを使用して MFA を検証するには、アプリケーションから /oauth/token に対して grant_type=http://auth0.com/oauth/grant-type/mfa-oob を指定したリクエストを送信する必要があります。チャレンジレスポンスで受け取った oob_code と、mfa_required エラーの一部として受け取った mfa_token を含めてください。 このリクエストへのレスポンスは、基盤となるチャレンジ検証の状態によって異なります。
  • チャレンジが受け入れられて検証済みの場合、レスポンスは password または http://auth0.com/oauth/grant-type/password-realm グラントタイプの場合と同じです。
  • チャレンジが拒否された場合は、invalid_grant エラーが返されます。これは、チャレンジがユーザーによって拒否されたことを意味します。このレスポンスは最終結果であるため、この時点でポーリングを停止する必要があります。
  • チャレンジの検証がまだ保留中の場合 (つまり、まだ受け入れも拒否もされていない場合) 、authorization_pending エラーが返されます。これは、数秒後に同じリクエストを再試行する必要があることを意味します。短い間隔でリクエストしすぎると、slow_down エラーが返されます。
チャレンジレスポンスに binding_method: prompt が含まれている場合、アプリはユーザーに binding_code の入力を求め、それをリクエストの一部として送信する必要があります。binding_code は通常、チャレンジの一部として含まれる 6 桁の数字 (OTP に似たもの) です。チャレンジレスポンスに binding_method が含まれていない場合、binding_code は不要です。この場合、レスポンスは即座に返され、invalid_grant または access_token を受け取ります。

詳細情報

パラメーター

DPoP
string
リクエストの DPoP 証明です。省略可能で、アプリケーションで Demonstrating Proof-of-Possession (所有証明) を使用する場合にのみ必要です。

リクエストボディ

grant_type
string
必須
使用するフローを示します。OTP MFA の場合は、http://auth0.com/oauth/grant-type/mfa-oob を使用します。指定可能な値: http://auth0.com/oauth/grant-type/mfa-oob
client_id
string
必須
アプリケーションのクライアントID。
client_assertion
string
アプリケーションの認証情報に関する署名付きアサーションを含む JWT。
client_assertion_type
string
値は urn:ietf:params:oauth:client-assertion-type:jwt-bearer です。指定可能な値: urn:ietf:params:oauth:client-assertion-type:jwt-bearer
client_secret
string
アプリケーションのクライアントシークレット。
mfa_token
string
必須
mfa_required エラーで受け取った mfa_token
oob_code
string
必須
チャレンジリクエストで受け取った oob コード。
binding_code
string
認証に使用するメインチャネルとサイドチャネルをひも付けるためのコード。

レスポンス

ステータス説明
200OOB 検証が成功した場合のレスポンスです。
400パラメーターが不足しているか無効なため、リクエストが不正です。
401未認証です。mfa_token または oob_code が無効です。