API

APIは外部リソースを表すエンティティで、保護されたリソースに対するアプリケーションの要求を受け付けたり、応答したりできます。OAuth2の仕様では、APIはリソースサーバーにマッピングされます。

何らかの時点で、カスタムAPIはユーザーに代わって、ユーザーの保護されたリソースに対するアクセスを制限付きで許可する必要があります。認可とは、ユーザーにアクセス可能なものを検証するプロセスのことです。認証と区別なく使用されることが多いものの、認可は根本的に異なる機能を表します。詳細については、「認証と認可」をお読みください。

認可では、APIが割り当てるべき権限の範囲を決定し、ユーザーまたはアプリケーションにAPIへのアクセス権を付与します。認可は通常、認証を通して身元が検証された後に行われるため、APIは付与するべきアクセス権の種類について何らかの情報を持っています。

認可はポリシールールを使って決定することもでき、これらはRole-based Access Control(RBAC)で使用することができます。RBACの使用にかかわらず、要求されたアクセス権はスコープを用いてAPIに送信され、付与されたアクセス権は発行されたアクセストークンに含めて返されます。

その後、アプリケーションはアクセストークンを使って、APIの保護されたリソースにアクセスします。同じアクセストークンは有効期限が切れるまで、認証することなく、APIのリソースへのアクセスに使用できます。

API権限

APIに処理可能なすべてのアクションはAPIだけが知っているため、APIには独自の内部的なアクセス制御があり、それを用いて独自の権限を定義するべきです。呼び出しているアプリケーションの有効な権限を決めるために、APIは受信したスコープで割り当てられている権限と独自のアクセス制御の内部システムを組み合わせて、適切にアクセス制御の決定を行わなければなりません。

APIを構成する

APIを保護するには、Auth0 Dashboardを使ってAPIを登録する必要があります。詳細については、「APIを登録する」を参照してください。

もっと詳しく