Auth
AccountMaker(以下「AM」)の Auth エンドポイントを使うと、トークン、セッション、セキュリティを自前実装せずにサインイン・サインアップ・パスワードフローを構築できます。
これらのエンドポイントはあなたの認証ドメイン上で動作し、登録からパスワードリセットまで、認証ライフサイクル全体を処理します。
概要
エンドポイント
| Endpoint | Purpose |
|---|---|
POST /auth/sign-up | メール/パスワードで新規ユーザー登録 |
POST /auth/sign-in | 認証情報でログイン |
POST /auth/sign-in-with-token | トークンによるパスワードレス認証 |
GET /auth/me | 現在のユーザープロファイルを取得 |
POST /auth/refresh | アクセストークンを更新 |
GET /auth/csrf-session | CSRF セッションクッキーを初期化 |
GET /auth/csrf-token | CSRF トークンを生成 |
POST /auth/check-email | メールと利用可能なログイン方式を確認 |
POST /auth/verify | メールアドレスを検証 |
POST /auth/send-magic-link | パスワードレスログインリンクを送信 |
POST /auth/send-password-reset | パスワードリセットメールを送信 |
POST /auth/reset-password | リセットトークンで新しいパスワードを設定 |
POST /auth/accept-invite | アカウント招待を承認 |
認証フロー
返却内容
認証に成功すると次が返されます。
- Access Token: API リクエスト用の短期 JWT(デフォルト 1 時間)
- Refresh Token: 新しい Access Token を取得するための長期トークン(デフォルト 14 日)
- User Profile: メール、Membership、Identity データ
CSRF 保護
状態を変更するリクエストでは CSRF トークンが必要です。
- セッション初期化:
GET /auth/csrf-session(HttpOnly Cookie を設定) - トークン取得:
GET /auth/csrf-token(X-CSRF-Tokenヘッダーで返却) - リクエストに
X-CSRF-Tokenヘッダーまたはcsrf_tokenボディ項目として付与
関連
- Authentication - 認証方式とセキュリティ
- OAuth - サードパーティ認可
- Users - ユーザー管理