認可コードフロー

認可コードフロー（OAuth 2.0 RFC 6749のセクション4.1で定義）では、認可コードがトークンと交換されます。

アプリケーションの認証方法が交換され、セキュリティ保護が必要であるため、このフローは機密アプリケーション（通常のWebアプリケーションなど）専用です。

1. ユーザーがアプリケーションで［Login（ログイン）］を選択します。

2. Auth0のSDKがユーザーをAuth0の認可サーバー（/authorizeエンドポイント）にリダイレクトします。

3. Auth0の認可サーバーがユーザーをログインにリダイレクトして、認可を促します。

4. ユーザーは構成されたログインオプションの1つを使用して認証を行い、Auth0がアプリケーションに与える許可をリストした同意画面が表示されることもあります。

5. Auth0認可サーバーが、1回限り有効の認可コードを添えて、ユーザーをリダイレクトでアプリへ戻します。

6. Auth0のSDKが認可コード、アプリケーションのクライアントID、およびアプリケーションの資格情報（クライアントシークレットや秘密鍵JWTなど）をAuth0の認可サーバー（/oauth/tokenエンドポイント）に送信します。

7. Auth0の認可サーバーは認可コード、アプリケーションのクライアントID、アプリケーションの資格情報を検証します。

8. Auth0の認可サーバーが、IDトークンとアクセストークン（リフレッシュトークンは任意）を含めて応答します。

9. アプリケーションがアクセストークンを使用してAPIを呼び出し、ユーザーについての情報にアクセスします。

10. APIが要求データで応答します。

認可コードフローを手軽に実装するには、通常のWebアプリのクイックスタートを使用します。

別の方法として、Authentication APIを使用して認可コードフローを実装することもできます。詳細については、「認可コードフローを使用してログインを追加する」または「認可コードフローを使用してAPIを呼び出す」をお読みください。

• Auth0ルール
• Auth0のフック
• トークン
• トークンのベストプラクティス
• どちらのOAuth 2.0フローを使用するべきですか？