アクセストークンを使用する

は、トークンベースの認証において、アプリケーションが API にアクセスできるようにするために使用されます。たとえば、カレンダーアプリケーションは、ユーザーの予定を読み取ったり新しいイベントを作成したりするために、クラウド上の Calendar API へのアクセスを必要とします。アプリケーションはアクセストークンを受け取ると、API リクエストを行う際に、そのトークンを認証情報として含めます。そのため、HTTP の Authorization ヘッダーで、アクセストークンを Bearer 認証情報として API に送信する必要があります。例:

GET /calendar/v1/events
    Host​: api.example.com
    
    Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwczovL2V4YW1wbGUuYXV0aDAuY29tLyIsImF1ZCI6Imh0dHBzOi8vYXBpLmV4YW1wbGUuY29tL2NhbGFuZGFyL3YxLyIsInN1YiI6InVzcl8xMjMiLCJpYXQiOjE0NTg3ODU3OTYsImV4cCI6MTQ1ODg3MjE5Nn0.CA7eaHjIHz5NxeIJoFK9krqaeZrPLwmMmgI_XiQiIkQ

この例では、アクセストークンはで、デコードすると次のクレームが含まれます：

{
      "alg": "RS256",
      "typ": "JWT"
    }
    .
    {
      "iss": "https://example.auth0.com/",
      "aud": "https://api.example.com/calendar/v1/",
      "sub": "usr_123",
      "scope": "read write",
      "iat": 1458785796,
      "exp": 1458872196
    }

このトークンを使用して API へのアクセスを許可する前に、API はアクセストークンを検証する必要があります。アクセストークンが正常に検証されると、API は次のことを確認できます。

このトークンは Auth0 によって発行されたものです。
このトークンは、識別子が usr_123 のユーザーが使用しているアプリケーションに対して発行されたものです。
ユーザーは、そのアプリケーションに対し、自身のカレンダーの読み取りと書き込みを許可しています。

これで API はリクエストを処理でき、アプリケーションはユーザー usr_123 のカレンダーを読み書きできます。

​詳しくはこちら

詳しくはこちら