Authenticate
Manage Users
Customize
Auth0 AI
Platform変更内容とその理由
ユーザーエクスペリエンス
この変更の理由
/oauth/token エンドポイント にシンプルな POST リクエストを送信することで、トークンを取得できます。
ただし手動のプロセスについては、画面の切り替えが常に最適なユーザー体験とは限らないことを認識しているため、新しいフローをより直感的にする方法を検討しています。
Auth0 Management APIv2 トークンの変更点
Auth0 Management APIv2 トークンの生成フローで何が変わったのか、またその理由を説明します。
少し前に、Management APIv2 トークンの取得プロセスを変更しました。この記事では、何が変わったのか、その理由、そしてそれを回避する方法 (非推奨) について説明します。
少し前までは、 Explorer から Management APIv2 トークンを直接生成できました。呼び出すエンドポイントに応じてスコープを選択し、そのページからトークンを取得できました。
この方法は非常に簡単でしたが、安全性に大きな問題がありました。そのため、この方法を変更しました。
新しい方法では、Client Credentials Flow を使用します。新しい手順の詳細については、Management API アクセストークン を参照してください。
トークンを生成するには、Management API が Global (トークンの署名に使用) にアクセスする必要がありました。これは Web ブラウザーに公開すべきではない情報です。
さらに、API Explorer には認可を行う仕組みがありません。つまり、ユーザーがログインして API Explorer にアクセスできれば、そのユーザーにそのスコープが許可されていなくても、任意のスコープを持つトークンを生成できてしまいます。
新しい実装では、このようなリスクはありません。初期設定を完了すれば、 にアクセスするか、Authentication API の
以前のフローでは、トークンに有効期限はありませんでした。新しいフローでは、すべての Management APIv2 トークンの有効期限がデフォルトで 24 時間に設定されています。
有効期限のないトークンは、攻撃者の手に渡った場合、非常に大きなリスクになります。トークンが数時間で期限切れになるのであれば、攻撃者が保護されたリソースにアクセスできる時間はごくわずかです。
トークンを取得するには、Management API アクセストークン に記載されている手順にのみ従ってください。