アプリケーションが機密か公開かを確認する
Auth0にアプリケーションが公開または機密アプリケーションとして登録されているかを確認することができます。詳細については、「機密アプリケーションと公開アプリケーション」をお読みください。
Auth0は、[Authentication Method(認証方法)]設定に基づいて、アプリケーションが機密か公開を決定します。これにより、アプリケーションがAuth0認証APIのトークンの取得エンドポイントに対して、どのように認証するかを定義します。
Auth0 Dashboardの[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動し、アプリケーションの名前を選択して表示します。
[Credentials(資格情報)]ビューが使用できない場合には、公開アプリケーションになります。
[Credentials(資格情報)]ビューが使用できる場合は、それを選択し、認証方法フィールドを見つけます。
適切な方法を使用します。
None(なし):クライアントシークレットのない公開アプリケーション。
Client Secret (Post)(クライアントシークレット(POST)):クライアントシークレットの送信にPOSTボディパラメーターを使用するアプリケーション。
Client Secret (Basic)(クライアントシークレット(ベーシック)):クライアントシークレットの送信にHTTP BASIC認証スキームを使用するアプリケーション。
Private Key JWT(秘密鍵JWT):非対称認証を使用するアプリケーション。
これらの値は以下のように機密と公開のアプリケーションにマッピングされています。
| アプリケーションタイプ | 例 | トークンエンドポイント認証方法 |
|---|---|---|
| パブリック | シングルページまたはネイティブ | なし |
| 機密 | 通常のWebまたはM2M | ベーシック、Post、秘密鍵JWT、指定なし |
公開アプリケーションは、PostやBasicのようなトークンエンドポイント認証方法に必要な資格情報の機密性を維持することができません。