メインコンテンツへスキップ
OIDC 準拠パイプラインでは、に関して次の変更があります。
  • 認証に implicit grant を使用した場合、返されなくなります。
  • confidential applications で使用できます。
  • 公開アプリケーションでも、Authorization Code Flow with PKCE を使用する場合は Refresh Token Rotation と組み合わせて使用できます。
  • /delegation エンドポイントは非推奨のため、新しいトークンの取得には /oauth/token エンドポイントを使用する必要があります。
また、リフレッシュトークンの構造にも違いがあります。詳しくは、Refresh Tokens を参照してください。

レガシー (委任)

POST /delegation
Content-Type: 'application/json'
{
  "grant_type": "urn:ietf:params:oauth:grant-type:jwt-bearer",
  "client_id": "...",
  "refresh_token": "...",
  "scope": "openid profile"
}

OIDC準拠 (トークンエンドポイント)

POST /oauth/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=123&client_id=123&client_secret=123&scope=openid+profile&audience=https%3A%2F%2Fapi.example.com
  • audienceclient_secret パラメーターは省略可能です。
  • 公開アプリケーションで refresh_token をリクエストする場合、client_secret は不要です。
リフレッシュトークンは、送信時にも保存時にも機密として扱う必要があります。また、共有先は認可サーバーと、そのリフレッシュトークンの発行対象であるクライアントのみに限定してください。

詳しくは