認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォームexp claim で示される有効期限があり、署名などのセキュリティ対策も施されています。通常、ユーザーが初めてリソースにアクセスするとき、または以前に付与されたアクセストークンの有効期限が切れたあとに、新しいアクセストークンが必要になります。
の は、ユーザーの操作なしで新しいアクセストークンを取得するために OAuth が使用できる認証情報です。これにより、 は、アクセストークンの有効期限が切れたときにユーザーを介さずに、セキュリティ上の理由からアクセストークンの lifetime を短くできます。リフレッシュトークンが DenyList に追加されるまで、新しいアクセストークンをリクエストできます。
これらの認証情報を安全かつ確実に管理しやすくするため、リフレッシュトークンの数は管理可能な妥当な範囲に保つことが重要です。リフレッシュトークンは実質的にユーザーが半永久的に認証された状態を維持できるようにするため、アプリケーションでは安全に保存する必要があります。
オフラインアクセス
ユーザーがオフライン時にもリフレッシュトークンを取得できるようにするには、API Settings で Allow Offline Access スイッチを選択します。
制限事項
- Auth0 では、アプリケーションごとに、ユーザー 1 人あたり最大 200 個の有効なリフレッシュトークンに制限されています。この制限は有効なトークンにのみ適用されます。上限に達した状態で新しいリフレッシュトークンが作成されると、システムはそのユーザーおよびアプリケーションに対する最も古いトークンを失効させ、削除します。失効したトークンと期限切れのトークンは、この上限にはカウントされません。過剰なトークンを避けるための推奨事項とベストプラクティスについては、トークンのベストプラクティス を参照してください。
-
リフレッシュトークン交換の後、Auth0 は有効期限のないトークンについて
event.refresh_token.device.last*プロパティを更新しません。有効期限付きリフレッシュトークンを有効にする方法については、リフレッシュトークンの有効期限を設定する を参照してください。
OIDC フラグを有効にする
- アプリで OIDC 準拠 フラグを有効にします。
- Authentication API の
/authorizeエンドポイントにaudienceクレームを渡します。
SDK のサポート
Web アプリ向け
- Node.js
- ASP.NET Core
- PHP
- Java