Auth0 Management API でユーザーセッションを管理する

Auth0 は、リクエストをまたいでユーザーの認証状態を維持するためにセッションを使用します。

Auth0 Management API のセッション管理エンドポイントは、Enterprise プランのお客様のみご利用いただけます。詳細については、Pricing を参照してください。

Management API エンドポイント

Management API では、Auth0 Session Layer 内のユーザーセッションの内部状態にログインフロー外からアクセスできるほか、セッションを強制終了するための削除メソッドも提供されています。

セッションリソース

以下のエンドポイントを使用して、特定のセッションを表示または削除できます。

名前	URL	必要なスコープ
IDを指定して特定のセッションをイントロスペクトする	`GET /api/v2/sessions/{sessionId}`	`read:sessions`
IDを指定して特定のセッションを削除する	`DELETE /api/v2/sessions/{sessionId}`	`delete:sessions`

ユーザーリソース

次のエンドポイントを使用して、指定したユーザーのすべてのセッションを一覧表示または削除できます。

名前	URL	必要なスコープ
ユーザーのセッション詳細を一覧表示する	`GET /api/v2/users/{userId}/sessions`	`read:sessions`
ユーザーのすべてのセッションを削除する	`DELETE /api/v2/users/{userId}/sessions`	`delete:sessions`

セッションのプロパティ

セッションエンドポイントは、セッションとその履歴に関する情報を返します。

フィールド	説明
セッション ID	セッション ID は、Auth0 テナント内のセッションを永続的に識別する ID です。セッション ID は、IDトークンおよびログアウトトークンにすでに含まれている `sid` クレームに対応しており、これらのエンティティを相互参照するために使用できます。
関連時刻	セッションの作成時刻、認証時刻、および有効期限に関する情報です。
デバイス情報	`device` プロパティは、この Auth0 セッションとのやり取りで使用されたユーザーエージェント (たとえば、ブラウザー) に関する詳細を示します。
認証情報	このセッションで認証に使用された方法の概要情報が含まれます。

これらのフィールドの詳細については、Management API ドキュメントを参照してください。

OIDC バックチャネルログアウトの開始元

セッション削除イベントは、session-deleted 開始元を介して OIDC バックチャネルログアウトに関連付けられます。詳細については、OIDC バックチャネルログアウトの開始元を参照してください。

セッションとリフレッシュトークン

セッションとは、セキュリティを最適化しつつ、ユーザー認証の手間を減らすために連携して機能します。詳細は、Auth0 Blog のアプリケーションセッション管理のベストプラクティスを参照してください。リフレッシュトークンは、セッションの有効期限が切れた後や削除された後、またはユーザーがログアウトした後でも有効な場合があります。を使用すると、セッションとは独立して、またはセッションと組み合わせてリフレッシュトークンを管理できます。

制限事項

セッションの削除操作は非同期で実行されるため、整合性が反映されるまで時間がかかる場合があります。

​Management API エンドポイント

​セッションリソース

​ユーザーリソース

​セッションのプロパティ

​OIDC バックチャネルログアウトの開始元

​セッションとリフレッシュトークン

​制限事項

​詳しく見る

Management API エンドポイント

セッションリソース

ユーザーリソース

セッションのプロパティ

OIDC バックチャネルログアウトの開始元

セッションとリフレッシュトークン

制限事項

詳しく見る