TL;DR
- Auth0はAPIエンドポイントへのアクセスを保護する手段として、API認証および認可を提供しています(「API認証と認可」を参照)
- モバイルアプリユーザーの認可およびAPIのアクセス付与に、Auth0はProof Key for Code Exchange(PKCE)を使った認可コードフローをサポートしています(「Proof Key for Code Exchange」を参照)
- モバイルアプリとAPIはAuth0 Dashboardで構成する必要があります(「Auth0の構成」を参照)
- ユーザーの権限は、認可拡張機能を使用して強制することができます(「認可拡張機能を設定する」を参照)
- APIは、APIへの呼び出し時にHTTP認可ヘッダーに有効なが渡されることを確認することで保護されます(「APIを実装する」を参照)
- Auth0.Android SDKを使用して、モバイルアプリユーザーを認可し、有効なアクセストークンを取得し、APIを呼び出すことができます(「ユーザーを認可する」を参照)
- モバイルアプリは、IDトークンをデコードしてユーザーのプロファイル情報を取得できます(「ユーザープロファイルの取得」を参照)
- ユーザーに付与されたスコープに基づいて、UI要素を条件付きで表示できます(「スコープに基づいた条件付きUIの表示」
- モバイルアプリは、APIへの呼び出し時にHTTP認可ヘッダーにアクセストークンを提供します(「APIを呼び出す」参照)
- モバイルアプリのユーザーアクセストークンは、セッション中にログインしなおす必要がないように更新できます(「トークンを更新する」を参照)