API を利用するモバイルアプリケーション

このシナリオでは、ExampleCo という架空の企業向けにタイムシート API を構築します。この API では、従業員または契約社員のタイムシートエントリを管理できます。また、API を使用して一元化されたタイムシートデータベース内のタイムシートエントリを表示および記録するモバイルアプリケーションも構築します。

要点

Auth0 は、API エンドポイントへのアクセスを保護する手段として、API の認証と認可を提供します (API Authentication and Authorization を参照)
モバイルアプリのユーザーを認可して API へのアクセスを付与するために、Auth0 は Authorization Code Flow with Proof Key for Code Exchange (PKCE) をサポートしています (Proof Key for Code Exchange を参照)
モバイルアプリと API の両方を Auth0 Dashboard で設定する必要があります (Auth0 Configuration を参照)
Authorization Extension を使用して、ユーザー Permissions を適用できます (Configure the Authorization Extension を参照)
API の呼び出し時に、有効なが HTTP Authorization ヘッダーで渡されるようにすることで、API を保護できます (Implement the API を参照)
Auth0.Android SDK を使用すると、モバイルアプリのユーザーを認可し、API の呼び出しに使用できる有効なアクセストークンを取得できます (Authorize the User を参照)
モバイルアプリでは、IDトークンをデコードしてユーザーのユーザープロフィール情報を取得できます (Get the User Profile を参照)
ユーザーに付与されたスコープに基づいて、UI 要素を条件付きで表示できます (Display UI Elements Conditionally Based on Scope を参照)
モバイルアプリは、API の呼び出し時に HTTP Authorization ヘッダーでアクセストークンを渡します (Call the API を参照)
セッション中にユーザーが再度ログインしなくて済むように、モバイルアプリユーザーのアクセストークンを更新できます (Renew the Token を参照)

前提

ExampleCo はコンサルティング系のスタートアップ企業です。現在、従業員は約 100 名おり、いくつかの業務を外部の契約業者に委託しています。すべての従業員と外部の契約業者は、毎週タイムシートを記入する必要があります。同社はタイムシートアプリケーションを構築しており、このシナリオについては通常の Web アプリ向けシングルサインオンで取り上げました。社内の従業員はこの Web アプリを使ってタイムシートを記入していますが、会社は、社外にいる従業員や契約業者が利用できるモバイルアプリケーションを必要としています。このアプリは、タイムシートエントリを記録し、API を使用してそのデータを集中管理されたタイムシートデータベースに送信するために使用されます。また、マネージャーがタイムシートエントリを承認できるようにもなります。

目標と要件

ExampleCo は、柔軟なソリューションを構築したいと考えています。タイムシートエントリを記録できる複数の従業員や契約社員が存在する可能性があるほか、外部システムからタイムシートエントリをアップロードするバッチプロセスも想定されます。そのため同社は、このモバイルアプリだけでなく、ほかのすべてのアプリでも時間を記録できるよう、単一の Timesheets API を開発することを決定しました。これに対応できる十分に柔軟なセキュリティアーキテクチャを導入したいと考えています。また、アプリケーションのコードとビジネスロジックの大部分を、異なるアプリケーション間で共有できるようにしたいと考えています。認可されたユーザーとアプリケーションのみが Timesheets API にアクセスできる必要があります。

詳しくはこちら

まとめ（SPAs + API）

ソリューション概要（モバイルアプリ + API）

​要点

​前提

​目標と要件

​詳しくはこちら

要点

前提

目標と要件

詳しくはこちら