OIDCにおけるリフレッシュトークン
OIDC準拠のパイプラインでは、リフレッシュトークンは以下のようになります。
暗黙付与タイプの認証では返されなくなります。
機密アプリケーションで使用できます。
PKCEを使用した認可コードフローでは、公開アプリケーションによるリフレッシュトークンのローテーションに使用できます。
新しいトークンの取得には、
/oauth/tokenエンドポイントを使用しなければなりません。これは、/delegationエンドポイントが廃止されたためです。
また、リフレッシュトークンの構造にも違いがあります。詳細については、「リフレッシュトークン」をお読みください。
レガシー(委任)
POST /delegation
Content-Type: 'application/json'
{
"grant_type": "urn:ietf:params:oauth:grant-type:jwt-bearer",
"client_id": "...",
"refresh_token": "...",
"scope": "openid profile"
}Was this helpful?
/
OIDC準拠(トークンエンドポイント)
POST /oauth/token
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=123&client_id=123&client_secret=123&scope=openid+profile&audience=https%3A%2F%2Fapi.example.comWas this helpful?
/
audienceとclient_secretパラメーターは任意です。client_secretは、公開アプリケーションがrefresh_tokenでトークン要求を行う際には必要ありません。
リフレッシュトークンは、転送・保管時に機密に保たなければならず、認可サーバーと、リフレッシュトークンの発行先クライアントの間でのみ共有します。