OIDCにおけるリフレッシュトークン

このページの内容

レガシー（委任）
OIDC準拠（トークンエンドポイント）
もっと詳しく

OIDC準拠のパイプラインでは、リフレッシュトークンは以下のようになります。

暗黙付与タイプの認証では返されなくなります。
機密アプリケーションで使用できます。
PKCEを使用した認可コードフローでは、公開アプリケーションによるリフレッシュトークンのローテーションに使用できます。
新しいトークンの取得には、/oauth/tokenエンドポイントを使用しなければなりません。これは、/delegationエンドポイントが廃止されたためです。

また、リフレッシュトークンの構造にも違いがあります。詳細については、「リフレッシュトークン」をお読みください。

レガシー（委任）

POST /delegation
Content-Type: 'application/json'
{
  "grant_type": "urn:ietf:params:oauth:grant-type:jwt-bearer",
  "client_id": "...",
  "refresh_token": "...",
  "scope": "openid profile"
}

OIDC準拠（トークンエンドポイント）

POST /oauth/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=123&client_id=123&client_secret=123&scope=openid+profile&audience=https%3A%2F%2Fapi.example.com

audienceとclient_secretパラメーターは任意です。
client_secretは、公開アプリケーションがrefresh_tokenでトークン要求を行う際には必要ありません。

リフレッシュトークンは、転送・保管時に機密に保たなければならず、認可サーバーと、リフレッシュトークンの発行先クライアントの間でのみ共有します。

もっと詳しく

OIDCを使った暗黙フロー

OIDCでのリソース所有者のパスワードフロー

⌘I

ログインの追加

ユーザーをプロビジョニングする

OIDCにおけるリフレッシュトークン

レガシー（委任）

OIDC準拠（トークンエンドポイント）

もっと詳しく

ログインの追加

ユーザーをプロビジョニングする

​レガシー（委任）

​OIDC準拠（トークンエンドポイント）

​もっと詳しく

レガシー（委任）

OIDC準拠（トークンエンドポイント）

もっと詳しく