OIDC での Implicit Flow

GET /authorize?
    response_type=token
    &scope=openid email favorite_color offline_access
    &client_id=123
    &state=af0ifjsldkj
    &redirect_uri=https://app.example.com
    &device=my-device-name

​

OIDC準拠

GET /authorize?
    response_type=token id_token
    &scope=openid email
    &client_id=123
    &state=af0ifjsldkj
    &nonce=jxdlsjfi0fa
    &redirect_uri=https://app.example.com
    &audience=https://api.example.com

• response_type は、アクセストークンと IDトークンの両方を受け取ることを示します。
• 暗黙的フローではリフレッシュトークンは使用できません。代わりに prompt=none を使用してください。詳しくは、サイレント認証を設定する を参照してください。
• favorite_color は有効なスコープではなくなりました。
• audience は省略可能です。
• nonce には、暗号学的に安全なランダム文字列を使用する必要があります。詳しくは、暗黙的フローの使用時にリプレイ攻撃を軽減する を参照してください。

HTTP/1.1 302 Found
Location: https://app.example.com/#
    access_token=SlAV32hkKG
    &expires_in=86400
    &state=af0ifjsldk
    &id_token=eyJ...
    &refresh_token=8xLOxBtZp8
    &token_type=Bearer

• 返されたアクセストークンは、/userinfo エンドポイントの呼び出しに使用できます。
• リフレッシュトークンが返されるのは、device パラメーターが渡され、offline_access スコープが要求された場合のみです。

HTTP/1.1 302 Found
Location: https://app.example.com/#
    access_token=eyJ...
    &expires_in=86400
    &state=af0ifjsldk
    &id_token=eyJ...
    &token_type=Bearer

• 返されたアクセストークンは、/userinfo エンドポイントの呼び出しに使用できます (audience パラメータで指定した API が、署名アルゴリズム として RS256 を使用している場合) 。また、必要に応じて、audience パラメータで指定した リソースサーバー の呼び出しにも使用できます。
• response_type=id_token を使用する場合、Auth0 は IDトークン のみを返します。 インプリシットグラントではリフレッシュトークンは使用できません。代わりに prompt=none を使用してください。

​

OIDC準拠

• favorite_color クレームは名前空間付きである必要があり、ルールを使用して追加する必要があります。詳細については、名前空間付きカスタムクレームを作成するを参照してください。
• IDトークンの検証後、アプリケーションはリプレイ攻撃を防ぐために nonce も検証する必要があります。

SlAV32hkKG

​

OIDC準拠

• 返されるアクセストークンは、/userinfo エンドポイントの呼び出しに使用できる JWT です (audience パラメーターで指定された API が 署名アルゴリズム として RS256 を使用している場合) 。また、audience パラメーターで指定されたリソースサーバーの呼び出しにも使用できます。
• 指定された オーディエンス が /userinfo のみである場合でも、不透明なアクセストークンが返されることがあります。

• OIDC を使用したアクセストークン
• OIDC を使用した外部 API
• OIDC を使用した認可コードフロー
• OIDC を使用したクライアントクレデンシャルフロー
• OIDC を使用した委任
• OIDC を使用したリフレッシュトークン