メインコンテンツへスキップ
アクセストークンプロファイルは、APIに発行されるアクセストークンの形式とクレームを定義します。Auth0は以下のアクセストークンプロファイル(別名トークンダイアレクト)をサポートしています。
トークンプロファイル説明トークンダイアレクト
Auth0トークンプロファイルデフォルトのトークンプロファイル。JSON Web Token (JWT)としてフォーマットされたアクセストークンを発行します。Auth0トークンプロファイルは、2つのトークンダイアレクトと関連しています:
  • access_token
  • access_token_authz、またはpermissionsクレームを含んだaccess_tokenプロファイル。
RFC 9068トークンプロファイルJWTフォーマットのOAuth 2.0アクセストークンのエンコードのためのIETF標準に準拠したJSON Web Token (JWT)としてフォーマットされたアクセストークンを発行します。The RFC 9068トークンプロファイルは、2つのトークンダイアレクトと関連しています:
  • rfc9068_profile
  • rfc9068_profile_authzまたはpermissionsクレームを含んだrfc9068_profileプロファイル
どちらのアクセストークンプロファイルもを発行しますが、JWTのトークン形式は異なります。どちらのアクセストークンプロファイルもRole-Based Access Control(RBAC)を有効にして、アクセストークンへのアクセス許可クレームを追加できます。 APIのアクセストークンプロファイルを構成するには、「アクセストークンプロファイルを構成する」をお読みください。

Auth0プロファイルのサンプルトークン

{
  "iss": "https://my-domain.auth0.com/",
  "sub": "auth0|123456",
  "aud": [
    "https://example.com/health-api",
    "https://my-domain.auth0.com/userinfo"
  ],
  "azp": "my_client_id",
  "exp": 1311281970,
  "iat": 1311280970,
  "scope": "openid profile read:patients read:admin",
  "my_custom_claim": "my_custom_value"
}

RFC 9068プロファイルのサンプルトークン

{
  "iss": "https://my-domain.auth0.com/",
  "sub": "auth0|123456",
  "aud": [
    "https://example.com/health-api",
    "https://my-domain.auth0.com/userinfo"
  ],
  "client_id": "my_client_id",
  "exp": 1311281970,
  "iat": 1311280970,
  "jti":"73WakrfVbNJBaAmhQtEeDv",
  "scope": "openid profile read:patients read:admin",
  "my_custom_claim": "my_custom_value"
}

トークンプロファイルの違い

Auth0プロファイルとRFC 9068プロファイルはトークン形式の異なるJWTを発行します。主な違いは以下の通りです。
  • RFC 9068プロファイルにはjtiクレームが組み込まれており、JWTに一意の識別子を提供する。
  • Auth0プロファイルはazpクレームを使用してクライアントIDを表すが、RFC 9068プロファイルはclient_idクレームを使用する。
  • RFC 9068プロファイルは、認証フローを表すAuth0固有のクレームであるgtyクレームは使用しない。

ヘッダー

データRFC 9068プロファイルAuth0プロファイル
typeat+jwtJWT
alg署名アルゴリズム。例:RS256署名アルゴリズム。例:RS256

クレーム

クレーム説明RFC 9068プロファイルに存在Auth0プロファイルに存在サンプルのクレーム
issアクセストークンを発行するAuth0テナントの発行者識別子です。テナントドメイン:https://tenant.auth0.com/
subサブジェクトクレームは、アクセストークンがどのユーザーまたはアプリケーションに発行されたかを示します:
  • 認可コードフローなど、エンドユーザーが関わる付与の場合、subクレームはuser_idになります。
  • クライアント資格情報付与を用いたM2Mアプリケーションで、エンドユーザーが関わらない場合、subクレームはアプリケーションの一意の識別子になります。
  • ユーザーID:auth0
audオーディエンスクレームは、アクセストークンの意図された受信者を示します。"https://test-server/api"または[ "https://test-server/api", "https://test.local.dev.auth0.com/userinfo" ]
client_idアクセストークンを要求したアプリケーションのクライアントIDです。クライアント ID:K1AUPhZq8mRi0Q0pjhkfu1D7y6KjDQja
azpアクセストークンを要求したアプリケーションのクライアントIDです。クライアント ID:K1AUPhZq8mRi0Q0pjhkfu1D7y6KjDQja
exp有効期限です。これ以降、アクセストークンを受け付けて処理してはいけません。エポックタイムスタンプ(秒単位):1516238022
iatアクセストークン発行のタイムスタンプです。エポックタイムスタンプ(秒単位):1516239022
scope発行されたアクセストークンのスコープです。詳細については、「スコープ」をお読みください。"openid profile offline_access"
jtiアクセストークンの一意の識別子です。一意の文字列識別子です。aBv9njtYfwL4xfPZyEwz9m
gtyアプリケーションがアクセストークンの要求に使用した付与タイプです。passwordrefresh_token付与タイプにのみ存在します。状況による付与タイプ:password
permissionsロールに応じて、ユーザーまたはアプリケーションに付与可能な権限です。APIで__[Enable RBAC(RBACを有効にする)][Add permissions in the Access Token(アクセストークンに権限を追加する)]__が有効化されている場合にのみ含まれます。詳細については、「APIにロールベースのアクセス制御を有効にする」をお読みください。状況による状況による[ "create:bar", "create:foo", "read:bar", "read:foo" ]
org_id組織IDです。ユーザーが組織を通して認証した場合に追加されます。詳細については、「トークンと組織で作業する」をお読みください。状況による状況による組織ID:org_9ybsU1dN2dKfDkBi
org_name組織名。ユーザーが組織を通して認証し、__[Organization Names in Authentication API(Authentication APIで組織名を使用する)]__の設定が有効な場合に追加されます。詳細については「Authentication APIで組織名を使用する」をお読みください。状況による状況による組織名:my_organization
authorization_detailsRich Authorization Request(RAR)で使用されている認可の詳細情報です。詳細については、「Rich Authorization Requestsを使用した認可コードフロー」をお読みください。状況による状況による{ "type": "money_transfer", "instructedAmount": {"amount": 2500, "currency": "USD"}, "destinationAccount": "xxxxxxxxxxx9876", "beneficiary": "Hanna Herwitz", }
cnfmTLSトークンバインディングに対応の確認クレームです。状況による状況による{"x5t#S256":"A4DtL2JmUMhAsvJj5tKyn64SqzmuXbMrJa0n761y5v0"}
カスタムクレームカスタムクレームは、アクションを使ってアクセストークンに追加することができます。詳細については「カスタムクレームを作成する」をお読みください。状況による状況による"favorite_color": “blue”
I