このガイドでは、Auth0 Flutter SDK を使用して Flutter アプリケーションに Auth0 を統合する方法を説明します。Android、iOS、macOS、Web プラットフォームでの設定について扱います。
新しい Flutter プロジェクトを作成する
このクイックスタート向けに、新しい Flutter プロジェクトを作成します。ターミナルで:
- ワークスペースのディレクトリに移動します
- 次を実行します:
flutter create auth0_flutter_sample
- プロジェクトディレクトリに移動します:
cd auth0_flutter_sample
- IDE で開きます:
- VS Code:
code .
- Android Studio:
open -a "Android Studio" .
# 新しいFlutterプロジェクトを作成する
flutter create auth0_flutter_sample
# プロジェクトディレクトリに移動する
cd auth0_flutter_sample
# VS Codeで開く
code .
これにより、最新のプロジェクト構成を使用したモダンな Flutter アプリが作成されます。flutter doctor を実行して、環境が正しく設定されていることを確認してください。
Auth0 Flutter SDK をインストールする
Flutter CLI を使用して、プロジェクトに Auth0 Flutter SDK を追加します。flutter pub add auth0_flutter
pubspec.yaml の依存関係に auth0_flutter が追加されます。dependencies:
auth0_flutter: ^2.0.0-beta.1
Auth0 Flutter SDK を使用するには、Flutter 3.24.0+ と Dart 3.5.0+ が必要です。flutter doctor を実行して、お使いの環境がこれらの要件を満たしていることを確認してください。
Auth0 アプリを設定する
次に、Auth0テナントに新しいアプリを作成し、コールバックURLを設定します。
- Auth0 Dashboard に移動します
- Applications > Applications > Create Application をクリックします
- ポップアップでアプリの名前を入力し、アプリの種類として
Native (Web のみの場合は Single Page Application) を選択して、Create をクリックします
- Application Details ページで Settings タブに切り替えます
- Domain と Client ID の値を控えておきます。後で必要になります
Settings タブで、対象のプラットフォームに応じて次のURLを設定します。Allowed Callback URLs:https://{yourDomain}/android/{yourPackageName}/callback
https://{yourDomain}/ios/{yourBundleIdentifier}/callback,
{yourBundleIdentifier}://{yourDomain}/ios/{yourBundleIdentifier}/callback
https://{yourDomain}/macos/{yourBundleIdentifier}/callback,
{yourBundleIdentifier}://{yourDomain}/macos/{yourBundleIdentifier}/callback
Allowed Callback URLs は、認証後にユーザーを安全にアプリケーションへ戻すための重要なセキュリティ対策です。一致する URL がない場合、ログイン処理は失敗します。Allowed Logout URLs は、サインアウト後にシームレスなユーザー体験を提供するために重要です。一致する URL がない場合、ログアウト後にユーザーはアプリケーションへリダイレクトされません。たとえば、Auth0 のドメインが example.us.auth0.com で、Android パッケージ名が com.example.myapp の場合、Android のコールバック URL は次のようになります: https://example.us.auth0.com/android/com.example.myapp/callback
重要: コールバック URL 内のパッケージ名 (Android) またはバンドル識別子 (iOS/macOS) が、実際のアプリ識別子と一致していることを確認してください。認証が失敗する場合は、これらの値が同一であることを確認してください。
アプリケーションを設定する
認証フローを有効にするには、プラットフォームごとの設定が必要です。対象とする各プラットフォームについて、以下の手順に従ってください。android/app/build.gradle ファイルを開き、android > defaultConfig 内に以下の manifest placeholders を追加します。android {
// ...
defaultConfig {
// 次の行を追加
manifestPlaceholders += [auth0Domain: "{yourDomain}", auth0Scheme: "https"]
}
// ...
}
{yourDomain} は、自分の Auth0 ドメイン (例: example.us.auth0.com) に置き換えてください。https スキームコールバック URL で https スキームを使用するには、アプリケーションに Android app links を設定します。生体認証を使用する場合 (任意) :生体認証を使用する予定がある場合は、MainActivity.kt を更新して FlutterFragmentActivity を継承するようにしてください。android/app/src/main/kotlin/.../MainActivity.kt
import io.flutter.embedding.android.FlutterFragmentActivity
class MainActivity: FlutterFragmentActivity() {
}
iOS 17.4+ で Universal Links (HTTPS コールバック URL) を使用するには、Associated Domain を設定します。
- Xcode でアプリを開きます:
open ios/Runner.xcworkspace
- Runner ターゲットを選択し、Signing & Capabilities に移動します
- + Capability をクリックして Associated Domains を追加します
- 次のエントリを追加します:
webcredentials:{yourDomain}
- Auth0 Dashboard で Settings > Advanced Settings > Device Settings に移動します
- iOS セクションで Team ID と App ID (bundle identifier) を設定します
Universal Links の設定は任意です。Universal Links のサポートが不要な場合は、この設定をスキップしてください。SDK は自動的にカスタム URL スキームにフォールバックします。
iOS と同じ手順に従いますが、代わりに macos/Runner.xcworkspace を開きます。
web/index.html ファイルの head セクション内に、次の script タグを追加します。<head>
<!-- ... 他の head コンテンツ ... -->
<script src="https://cdn.auth0.com/js/auth0-spa-js/2.9/auth0-spa-js.production.js" defer></script>
</head>
Android: auth0Domain の値が Auth0 ドメインと完全に一致していることを確認してください。認証に失敗する場合は、この値が Auth0 Dashboard に表示されているドメインと同一であることを確認してください。iOS/macOS: Universal Links を使用するには、有料の Apple Developer アカウントと iOS 17.4+/macOS 14.4+ が必要です。古いバージョンでは、SDK は自動的にカスタム URL スキームにフォールバックします。
ログインとログアウトを実装する
Universal Login は、アプリケーションに認証を設定する最も簡単な方法です。最適なユーザー体験、高いセキュリティ、そして最も豊富な機能を利用できるため、これを使用することを推奨します。ログインを実装する:Auth0 Flutter SDK をインポートし、Auth0 インスタンスを作成します。import 'package:auth0_flutter/auth0_flutter.dart';
class AuthService {
final auth0 = Auth0('{yourDomain}', '{yourClientId}');
Future<Credentials> login() async {
final credentials = await auth0.webAuthentication().login(useHTTPS: true);
// アクセストークン -> credentials.accessToken
// IDトークン -> credentials.idToken
// ユーザープロフィール -> credentials.user
return credentials;
}
}
Web 専用の SDK をインポートし、認証フローを処理します。lib/web_auth_service.dart
import 'package:auth0_flutter/auth0_flutter_web.dart';
class WebAuthService {
final auth0Web = Auth0Web('{yourDomain}', '{yourClientId}');
Future<void> initialize() async {
// リダイレクト コールバックを処理するため、アプリの初期化時に onLoad() を呼び出します
final credentials = await auth0Web.onLoad();
if (credentials != null) {
// ユーザーはすでにログインしています
// アクセストークン -> credentials.accessToken
// ユーザープロフィール -> credentials.user
}
}
Future<void> login() async {
await auth0Web.loginWithRedirect(redirectUrl: 'http://localhost:3000');
}
}
Future<void> logout() async {
await auth0.webAuthentication().logout(useHTTPS: true);
// ユーザーはログアウトされました
// 認証情報はセキュアストレージから削除されています
}
lib/web_auth_service.dart
Future<void> logout() async {
await auth0Web.logout(returnToUrl: 'http://localhost:3000');
}
iOS/macOS: useHTTPS: true パラメーターにより、iOS 17.4+ および macOS 14.4+ で Universal Links が有効になり、セキュリティが強化されます。Android: カスタムスキームを使用している場合は、そのスキームを login メソッドに渡してください。これにより、SDK がログインページへの遷移とアプリへの復帰を正しく処理できます。await auth0.webAuthentication(scheme: 'YOUR CUSTOM SCHEME').login();
onLoad() を呼び出す必要があります。これにより、Auth0 からのリダイレクト コールバックが処理され、ユーザーがすでに認証済みであればセッションが復元されます。 ユーザープロフィール情報を表示
ユーザープロフィールは、ユーザーのログイン時に自動的に取得されます。Credentials オブジェクトには user プロパティがあり、IDトークンをデコードして取得されたユーザープロフィール情報がすべて格納されます。void displayUserProfile(Credentials credentials) {
final user = credentials.user;
print('User ID: ${user.sub}');
print('Email: ${user.email}');
print('Name: ${user.name}');
print('Picture: ${user.pictureUrl}');
print('Nickname: ${user.nickname}');
}
特定のユーザープロフィール フィールドにアクセスするには、ログイン時に適切なスコープを要求します。デフォルトのスコープは openid、profile、email、offline_access です。
アプリを実行する
Flutter アプリケーションをビルドして実行します。ターミナルで次を実行します。:# 利用可能なデバイスを一覧表示する
flutter devices
# Androidで実行する
flutter run -d android
# iOSシミュレーターで実行する
flutter run -d ios
# Webで実行する(callbackのURLに合わせてポート3000を使用)
flutter run -d chrome --web-port 3000
- アプリがログイン UI を表示して起動します
- ユーザーが Log In をタップ → Auth0 Universal Login を表示するブラウザー/Custom Tab が開きます
- ユーザーが認証を完了します
- ブラウザーからアプリにリダイレクトされます
- ユーザーは認証済みとなり、認証情報が保存されます
Auth0 で設定した callback URL と一致させるため、Web アプリの実行時には必ずポート 3000 を使用してください。このポートは変更できますが、Auth0 の設定と一致していることを必ず確認してください。
チェックポイントこれで、Flutter アプリケーションで Auth0 のログイン機能が完全に動作するようになっているはずです。アプリは安全なブラウザベースの認証を使用し、セッションを永続化するための認証情報を自動的に保存します。
Callback URL の不一致
症状: "redirect_uri_mismatch" エラーが表示される、または認証が失敗しても何も起こらないように見えます。解決策:
- Auth0 Dashboard の Allowed Callback URLs が、アプリの設定と完全に一致していることを確認します
- スキーム (
https:// と http://) を確認します
- パッケージ名 (Android) またはバンドル識別子 (iOS/macOS) が正しいことを確認します
- 末尾のスラッシュがないか確認します
Android: Chrome Custom Tab が開かない
症状: login() を呼び出しても何も起こりません。修正方法:
manifestPlaceholders が build.gradle で正しく設定されていることを確認しますAndroidManifest.xml にインターネット権限が含まれていることを確認します:
<uses-permission android:name="android.permission.INTERNET" />
- Chrome または別のブラウザーがデバイスにインストールされていることを確認します
iOS: 「App で開く」アラート
症状: アプリで開くかどうかを確認するアラートが表示されます。修正方法: これは ASWebAuthenticationSession の想定された動作です。これを表示しないようにするには、次のいずれかを使用します。
- Universal Links を使用します (iOS 17.4 以降と有料の Apple Developer アカウントが必要です)
- または
useEphemeralSession: true を設定します (SSO は無効になります) :
await auth0.webAuthentication().login(
useHTTPS: true,
useEphemeralSession: true,
);
Web: ページ更新時にユーザーがログアウトされる
症状: ページを更新すると、ユーザーがログアウトしたように見えます。修正方法:
- アプリの初期化時に
onLoad() が呼び出されていることを確認します
- キャッシュの保存先として
localStorage の使用を試します:
final auth0Web = Auth0Web(
'{yourDomain}',
'{yourClientId}',
cacheLocation: CacheLocation.localStorage,
);
- ドメインが Auth0 Dashboard の Allowed Web Origins に追加されていることを確認します
Web: 「Must run on a secure origin」エラー
症状: ブラウザーのコンソールに secure origin に関するエラーが表示されます。修正方法: Auth0 SPA SDK ではセキュアコンテキストが必要です。localhost (セキュアとして扱われます) を使用するか、HTTPS ドメインにデプロイしてください。ユーザーによって認証がキャンセルされた
エラー処理で適切に処理してください:try {
final credentials = await auth0.webAuthentication().login(useHTTPS: true);
// ログイン成功時の処理
} on WebAuthenticationException catch (e) {
if (e.code == 'USER_CANCELLED') {
showMessage('ログインはキャンセルされました');
} else {
showMessage('ログインに失敗しました: ${e.message}');
}
}
Auth0 Flutter SDK には、ユーザーの認証情報を安全に保存する組み込みの Credentials Manager が含まれています。モバイルプラットフォームでは、認証情報は暗号化され、プラットフォームのセキュアストレージ (iOS/macOS では Keychain、Android では暗号化された SharedPreferences) に保存されます。保存済みの認証情報を確認する
ユーザーにログインを求める前に、有効な認証情報がすでにあるかどうかを確認します:Future<bool> checkAuthentication() async {
if (kIsWeb) {
return await auth0Web.hasValidCredentials();
} else {
return await auth0.credentialsManager.hasValidCredentials();
}
}
保存済みの認証情報を取得する
アクセストークンやユーザー情報にアクセスするために認証情報を取得します。Credentials Manager は、可能であれば有効期限が切れたトークンを自動的に更新します:Future<Credentials> getCredentials() async {
if (kIsWeb) {
return await auth0Web.credentials();
} else {
return await auth0.credentialsManager.credentials();
}
}
ログイン後に認証情報を手動で保存する必要はありません。SDK が自動的に処理します。また、トークンを手動で更新する必要もありません。必要に応じて Credentials Manager が更新します。
適切に認証エラーを処理して、良好なユーザー体験を提供します。モバイル/macOS のエラー
import 'package:auth0_flutter/auth0_flutter.dart';
Future<void> login() async {
try {
final credentials = await auth0.webAuthentication().login(useHTTPS: true);
// ログイン成功時の処理
} on WebAuthenticationException catch (e) {
if (e.code == 'USER_CANCELLED') {
// ユーザーがログインをキャンセルした
print('Login cancelled by user');
} else {
// その他のエラーを処理
print('Login error: ${e.message}');
}
}
}
Future<Credentials> getCredentials() async {
try {
return await auth0.credentialsManager.credentials();
} on CredentialsManagerException catch (e) {
if (e.isNoCredentialsFound) {
// 保存された認証情報がないため、ユーザーはログインする必要がある
throw Exception('Please log in first');
} else if (e.isTokenRenewFailed) {
// リフレッシュトークンの有効期限が切れているため、再認証が必要
return await auth0.webAuthentication().login(useHTTPS: true);
}
rethrow;
}
}
Web のエラー
lib/web_auth_service.dart
import 'package:auth0_flutter/auth0_flutter_web.dart';
Future<void> login() async {
try {
await auth0Web.loginWithRedirect(redirectUrl: 'http://localhost:3000');
} on WebException catch (e) {
print('Login error: ${e.message}');
}
}
生体認証による認証情報のセキュリティ強化
モバイルで認証情報にアクセスする際に、生体認証を実装します。lib/secure_auth_service.dart
class SecureAuthService {
final auth0 = Auth0('{yourDomain}', '{yourClientId}');
Future<void> enableBiometrics() async {
// ローカル認証を有効化(Face ID、Touch ID、指紋認証)
await auth0.credentialsManager.enableLocalAuthentication(
title: 'Authenticate to access your account',
cancelTitle: 'Cancel',
fallbackTitle: 'Use passcode',
);
}
Future<Credentials> getCredentialsWithBiometrics() async {
// これ以降は生体認証が必要になる
return await auth0.credentialsManager.credentials();
}
}
Android: ステップ 4 で設定したとおり、MainActivity は FlutterFragmentActivity を継承している必要があります。iOS/macOS: Info.plist に NSFaceIDUsageDescription を追加する必要があります。
カスタムスコープとオーディエンス
API 用に特定のスコープとオーディエンスを要求します。Future<Credentials> loginWithCustomScopes() async {
return await auth0.webAuthentication().login(
useHTTPS: true,
scopes: {'openid', 'profile', 'email', 'offline_access', 'read:posts'},
audience: 'https://myapi.example.com',
parameters: {'prompt': 'login'},
);
}
組織 (B2B/Enterprise)
特定の組織内でユーザーを認証します。Future<Credentials> loginWithOrganization(String organizationId) async {
return await auth0.webAuthentication().login(
useHTTPS: true,
organizationId: organizationId,
);
}
// または、ユーザーに組織を選択させる
Future<Credentials> loginWithOrganizationName(String organizationName) async {
return await auth0.webAuthentication().login(
useHTTPS: true,
organizationName: organizationName,
);
}
App Store 公開の準備
- シームレスな認証のために Universal Links (iOS) と App Links (Android) を設定する
- 複数のデバイスサイズと OS バージョンでテストする
- ネットワーク障害に対する適切なエラー処理を実装する
- コード難読化を使用する場合は、Android に ProGuard ルールを追加する
- プラットフォーム固有の App Store/Play Store のポリシーに従う
セキュリティに関する考慮事項
- 本番環境での認証情報の保存には、組み込みの Credentials Manager を使用する
- 機密性の高い操作では生体認証を有効にする
- API セキュリティをさらに強化するため、証明書ピンニングを検討する
- 適切なトークン更新処理を実装する
- サポートされているプラットフォームでは、Universal Links に
useHTTPS: true を使用する
高度なシナリオ向けの DPoP、生体認証、パスワードレスログインなどをはじめ、さまざまな機能を網羅したコード例については、SDK リポジトリ内の EXAMPLES.md ファイルを参照してください。 
認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム