APIを登録する

1. ［Dashboard］>［Applications（アプリケーション）］>［APIs（API）］に移動して、［+Create API（APIの作成）］を選択します。

2. APIのために以下の情報を入力して、［Create（作成）］をクリックします。

   フィールド	説明	例
   Name（名前）	APIのわかりやすい名前です。機能性には影響しません。	yourDomain
   Identifier（識別子）	APIの一意の識別子です。URLの使用を推奨します。Auth0では、末尾にスラッシュを含むURLが区別されます。たとえば、https://example.comとhttps://example.com/は異なる識別子として扱われます。このURLは公開されているURLでなくても構いません。Auth0がAPIを呼び出すことはありません。この値は後で変更できません。	https://{yourDomain}
   JSON Web Token (JWT) Profile（JSON Web Token（JWT）プロファイル）	このプロファイルが、APIに発行されるアクセストークンの形式を決定します。使用できる値はAuth0とRFC 9068です。詳細については、「アクセストークンのプロファイル」を参照してください。	access_token
   JSON Web Token (JWT) Signing Algorithm（JSON Web Token（JWT）署名アルゴリズム）	アクセストークンの署名に使用されるアルゴリズムです。使用できる値はHS256、PS256、RS256です。RS256を選択すると、トークンはテナントの秘密鍵で署名されます。	HS256

3. QuickStartで説明されているように、APIに構成変更を加えます。これらの変更は、定義済みリストからJWTライブラリーを選択すること、APIのアクセストークンを検証するようにこのライブラリーを構成することを含みます。

   
   新しいカスタムAPIを作成していて、テナントにシングルページまたはネイティブアプリケーションがある場合には、Role-based Access Control（RBAC）を有効にしなければなりません。そうすることで、それらのアプリケーションにログインしているユーザーが、スコープを考慮しないAPIにアクセストークンを生成するのを防ぎます。APIに対してRBACを有効化する方法については、「APIのRole-Based Access Controlを有効にする」をお読みください。

APIで利用できる他のDashboardビューは以下です。

• Settings（設定）：APIの設定のリストです。その中の一部は編集可能です。ここでは、トークンの有効期間を変更し、オフラインアクセスを有効にできます（これにより、Auth0はこのAPIのリフレッシュトークンのためにアプリケーションにアクセスできます）。

• スコープ：名前と説明を設定して、このAPIのスコープを定義できます。

• Machine-to-Machine Applications（M2Mアプリケーション）：クライアントの資格情報付与が有効になっている全アプリケーションをリスト表示します。デフォルトでは、この付与は、通常のウェブアプリケーションおよびM2Mアプリケーションに対して有効になっています。APIのアクセストークンを要求するようにこれらのいずれかのアプリケーションに権限を付与できます。オプションとして、認可されたアプリケーションのアクセスを制限するために、定義済みスコープのサブセットを選択できます。

• Test（テスト）：認可されたアプリケーションでクライアントの資格情報フローを実行して、すべてが期待通りに機能することを確認します。

• APIの設定
• トークンのベストプラクティス
• どちらのOAuth 2.0フローを使用するべきですか？