Authorization Code Flow
定義
OAuth/OIDCで利用者を認可サーバーへリダイレクトし、認可コードをトークンに交換する標準的なフロー。WebログインやSaaS連携で広く使われる。
詳細解説
認可コードは一時的な値で、バックエンドやPKCEを使ってトークンへ交換します。確認ポイントはリダイレクトURI、state、PKCE、クライアント種別であり、トークンをURLフラグメントへ直接返す古い方式は避けます。
ポイント
- 認可コードをトークンへ交換する標準フロー
- stateとリダイレクトURIの検証が重要
- SPAやモバイルではPKCEを併用する
関連用語
関連コンテンツ
よくある質問
Authorization Code Flowとは?
OAuth/OIDCで利用者を認可サーバーへリダイレクトし、認可コードをトークンに交換する標準的なフロー。WebログインやSaaS連携で広く使われる。
Authorization Code Flowについて詳しく知るには?
認可コードは一時的な値で、バックエンドやPKCEを使ってトークンへ交換します。確認ポイントはリダイレクトURI、state、PKCE、クライアント種別であり、トークンをURLフラグメントへ直接返す古い方式は避けます。
Authorization Code Flowのポイントは?
認可コードをトークンへ交換する標準フロー stateとリダイレクトURIの検証が重要 SPAやモバイルではPKCEを併用する
同じカテゴリの用語(プロトコル・技術)
APIやリソースへアクセスするために提示する短命なトークン。漏えい時は有効期限、権限範囲、失効可否を確認する。…
現在最も広く使われる対称暗号アルゴリズム。128・192・256ビットの鍵長をサポート。ECB・CBC・GCMなど複数の…
API利用者やアプリケーションを識別し、操作権限を与えるための秘密値。漏えい時は失効と再発行が必要になる。…
メール転送やメーリングリストを経由した後でも、元の認証結果を一定程度検証できるようにする仕組み。…
SAMLログインで、IdPから返されたSAMLアサーションをサービス側が受け取るエンドポイント。ACS URLとも呼ばれ…
JWTの利用先を示すClaim。トークンがどのAPIやサービス向けに発行されたかを表し、受け取る側で必ず確認すべき値。…