認証フローと認可フロー

Auth0はOpenID Connect（OIDC）プロトコルとOAuth 2.0認可フレームワークを使用して、ユーザーを認証し、保護されたリソースにアクセスするためのユーザーの認可を得ます。Auth0を使うと、OIDC/OAuth 2.0の仕様やその他の認証・認可の技術的側面を気にすることなく、独自のアプリケーションとAPIで各種フローを簡単にサポートすることができます。

サーバー側、モバイル、デスクトップ、クライアント側、マシンツーマシン、およびデバイスアプリケーションのシナリオがサポートされています。

使うべきフローの選択でお困りの場合は、「どのOAuth 2.0フローを使用するべきですか？」で詳細をお読みください。

通常のWebアプリはソースコードが公開されないサーバー側アプリなので、認可コードとトークンを交換する認可コードフローを使用できます。

• 認可コードフロー

• 認可コードフローを使用してログインを追加する

• 認可コードフローを使用してAPIを呼び出す

モバイルアプリケーションとネイティブアプリケーションは認証中に認可コードフローを使用できますが、追加のセキュリティ対策が必要です。加えて、シングルページアプリには特別な課題があります。これらのリスクを軽減するため、OAuth 2.0はProof Key for Code Exchange（PKCE）を活用した認可コードフローのバージョンを提供しています。

• Proof Key for Code Exchange（PKCE）を使った認可コードフロー

• PKCEを使った認可コードフローでログインを追加する

• PKCEを使った認可コードフローでAPIを呼び出す

トランザクション認可のような一部のユースケースでは、認証と認可のプロセス中に、機密データを含む可能性のあるコンテキスト情報を交換します。このデータや機密情報を保護するため、認可コードフローには各種プロトコル改善策を使用できます。

• Rich Authorization Requests（RAR）を使った認可コードフロー

• Pushed Authorization Requests（PAR）を使った認可コードフロー

• JWT-Secured Authorization Requests（JAR）を使った認可コードフロー

• PARとJARを使った認可コードフロー

• JSON Web Encryption（JWE）

OAuth 2.0では、認可コードフローの代わりとして、パブリッククライアントや、クライアントシークレットを安全に保存することのできないアプリケーションでの使用を意図した暗黙フローも提供しています。これは現在ではアクセストークンを要求するためのベストプラクティスとはみなされないフローですが、アプリケーションがユーザー認証にIDトークンのみを必要とする場合、フォームPOST応答モードと併用することでワークフローが効率化します。

• フォームPOSTを使った暗黙フロー

• フォームPOSTを使った暗黙フローでログインを追加する

• クッキーを使ってSPAを認証する

クライアントシークレットを安全に保存できるアプリケーションには、ハイブリッドフローが有効です。これは認可コードフローと暗黙フローにフォームPOSTを組み合わせたフローで、アプリケーションはIDトークンに即座にアクセスできるとともに、アクセストークンとリフレッシュトークンを安全に取得できます。これは、アプリケーションがユーザー情報に対して即時アクセスを必要とする場合には便利ですが、何らかの処理を行わないと、保護されたリソースに長期間アクセスすることはできません。

• ハイブリッドフロー

• ハイブリッドフローを使用してAPIを呼び出す

バックエンドで動作するCLIやデーモン、サービスなどのマシンツーマシン（M2M）アプリケーションでは、システムがユーザーではなくアプリを認証および認可します。このシナリオでは、識別子とパスワードや、ソーシャルログインなどの典型的な認証方式では意味がありません。代わりに、M2Mアプリではクライアントの資格情報フローを使用します（OAuth 2.0 RFC 6749第4.4節に定義）。

• クライアントの資格情報フロー

• クライアントの資格情報フローを使用してAPIを呼び出す

ユーザーを直接認証するのではなく、入力に制約のあるインターネット接続デバイスでは、コンピューターやスマートフォンのリンクをクリックして、デバイスを認可するようユーザーに求めます。そうすることで、テキストを入力するのに手軽な方法がないデバイスで、ユーザーエクスペリエンスの質が下がることを防ぎます。これを行うために、デバイスアプリではデバイス認可フローを使用します（OAuth 2.0でドラフト作成）。モバイル／ネイティブアプリケーションで使用します。

• デバイス認可フロー

• デバイス認可フローを使用してAPIを呼び出す

推奨はされませんが、信頼性の高いアプリケーションでは、リソース所有者のパスワードフローを使うことができます。このフローは、ユーザーに資格情報（識別子とパスワード）の提供を要求するもので、通常は対話型フォームを使用します。リソース所有者のパスワードフローの使用は、（認可コードフローのような）リダイレクトベースのフローが使用できない場合にのみ限定すべきです。

• Resource Owner Password（リソース所有者のパスワード）フロー

• リソース所有者のパスワードフローを使ってAPIを呼び出す

クライアントが開始するバックチャネル認証フロー（CIBA）を使用すると、ユーザーを直接認証するのではなく、クライアントアプリケーションのバックエンドで認証フローが開始され、ユーザーをチャレンジして認証します。認証自体は、別の認証デバイス（通常、カスタムアプリを実行するスマートフォン）で実行されます。

• クライアントが開始するバックチャネル認証フロー

• CIBAによるユーザー認証