メインコンテンツへスキップ
POST /oauth/token
このフローは、リダイレクトを使用できない十分に信頼できるアプリケーションからのみ使用してください。アプリでリダイレクトベースのフローを使用できる場合は、代わりに Authorization Code Flow を使用することを推奨します。
これは、十分に信頼できるアプリケーションが API にアクセスするために使用する OAuth 2.0 のグラントです。このフローでは、通常、ユーザーエージェント (ブラウザー) 内の対話形式のフォームを使用して、エンドユーザーに認証情報 (username/password) の入力を求めます。この情報はバックエンドに送信され、そこから Auth0 に送られます。したがって、アプリケーションがこの情報を預けても問題ないと断言できるほど信頼できることが絶対条件です。

リクエストヘッダー

ParameterDescription
auth0-forwarded-for文字列として指定するエンドユーザーの IP アドレス。サーバーサイド環境で総当たり攻撃対策を有効にする場合は、これを設定します。

レスポンス

200

リクエストが成功すると、アクセストークンが返されます。 
HTTP/1.1 200 OK
Content-Type: application/json
{
  "access_token":"eyJz93a...k4laUWw",
  "token_type":"Bearer",
  "expires_in":86400
}

注記

  • アプリケーションに発行されるスコープは、要求したスコープと異なる場合があります。この場合、レスポンス JSON には scope パラメーターが含まれます。
  • 特定のスコープを要求しない場合、このグラントではアプリケーションが暗黙的に信頼されるため、オーディエンスに定義されているすべてのスコープが返されます。
  • realm のサポートを追加するには、grant_typehttp://auth0.com/oauth/grant-type/password-realm に設定し、realm をユーザーが属する realm に設定します。これは Auth0 の接続にマッピングされます。
  • ユーザー名とパスワードに加えて、Auth0 は本人確認のために、エンドユーザーへ追加の認証要素の提示を求める場合があります。リクエストでは、多要素認証用の mfa_token とともに mfa_required エラーが返されることがあります。

詳細情報

パラメーター

DPoP
string
リクエストに対する DPoP プルーフです。省略可能で、アプリケーションで Demonstrating Proof-of-Possession を使用している場合にのみ必要です。

リクエストボディ

grant_type
string
必須
使用するフローを示します。Resource Owner Password の場合は password を使用します。
username
string
必須
ユーザー名やメールアドレスなどの Resource Owner の識別子です。
password
string
必須
Resource Owner のシークレットです。
audience
string
アクセスする対象 API の一意の識別子です。
resource
string
アクセスする対象 API (リソースサーバー) の識別子です。Auth0 テナントに登録されている API Identifier と一致している必要があります。テナントの Resource Parameter Compatibility Profilecompatibility に設定されている場合は、audience の代わりに使用されます。
scope
string
アプリケーションが要求する各スコープを表す文字列値です。
client_id
string
必須
アプリケーションのクライアントIDです。
client_secret
string
アプリケーションのクライアントシークレットです。
realm
string
ユーザーが属する realm を表す文字列値です。

レスポンス

ステータス説明
200アクセストークンが返されます。