OAuth
AccountMaker(以下「AM」)は完全な OAuth 2.0 / OpenID Connect 認可サーバーです。トークン発行、スコープ検証、OAuth 互換システムとの連携を実行できます。
モバイルアプリ、SPA、IoT デバイス、サービス間連携など、ユースケースに応じたフローをサポートします。
対応フロー
Authorization Code (with PKCE)
Web アプリとモバイルアプリ向け。PKCE の S256 / plain をサポートします。
Device Authorization (RFC 8628)
ブラウザを持たない TV、CLI、IoT デバイス向け。
Refresh Token
再認証なしで新しい Access Token を取得します。
Client Credentials
ユーザーを介さないサービス間認証です。
JWT Bearer (RFC 7523)
署名済み JWT を Access Token に交換します。
SAML 2.0 Bearer (RFC 7522)
SAML Assertion を Access Token に交換します。
Token Exchange (RFC 8693)
既存の Access Token をより限定的なトークンへ交換します。
エンドポイント
| Endpoint | Purpose |
|---|---|
/oauth2/authorize | 認可開始とログイン表示 |
/oauth2/token | コード/認証情報をトークンへ交換 |
/oauth2/userinfo | ユーザープロファイルクレーム取得 (OIDC) |
/oauth2/introspect | トークン検証 (RFC 7662) |
/oauth2/revoke | Refresh Token の無効化 |
/oauth2/device_authorization | Device Flow 開始 |
/.well-known/openid-configuration | OIDC Discovery |
/.well-known/jwks.json | 公開署名鍵 |
スコープ
| Scope | Access Granted |
|---|---|
openid | OIDC ID Token |
profile | 名前、画像、ロケール |
email | メールアドレスと検証状態 |
offline_access | Refresh Token |
トークン設定
Client ごとに次を設定できます。
- Access Token 有効期間(デフォルト: 1 時間)
- Refresh Token 有効期間(デフォルト: 14 日)
- ID Token クレーム
- 署名アルゴリズム(RS256)
- Cookie 保存オプション
関連
- Clients - クライアント設定
- Client - クライアントリソース
- Backend Integration - トークン検証