アクセス許可は、ユーザーの代わりに、提供されたアクセストークンを使ってどのようにしてリソースにアクセスできるのかを定義できるようにします。たとえば、ユーザーがマネージャーアクセスレベルを持つ場合には、messagesリソースに対して読み出しアクセスを付与し、管理者アクセスレベルを持つ場合には、書き込みアクセスを付与することができます。

Auth0 Dashboardの［APIs］セクションにある［Permissions（権限）］ビューで使用可能なアクセス許可を定義することができます。

jwt Gemをインストールします。

gem 'jwt'
bundle install

Auth0Clientと呼ばれるクラスを作成します。このクラスは、リクエストのAuthorizationヘッダーから得た受信アクセストークンをデコードし検証します。

Auth0ClientクラスはAuth0テナントの公開鍵を取得し、これを使ってアクセストークンの署名を検証します。Token構造体はvalidate_permissionsメソッドを定義し、必要なスコープの配列を指定してアクセストークン内の特定のscopeを検索し、トークンのペイロードに存在するかを確認します。

受信リクエストのAuthorizationヘッダー内でアクセストークンを検索するSecuredと呼ばれるConcernを作成します。

トークンが存在する場合、Auth0Client.validate_tokenはjwt Gemを使用してトークンの署名を確認し、トークンのクレームを検証します。

Concernには、アクセストークンが有効であることを検証するほか、トークンにリクエストされたリソースにアクセスするのに十分なスコープがあることを確認するためのメカニズムも整備されています。この例では、Auth0ClientクラスからToken.validate_permissionsメソッドを呼び出すことで、ブロックを受け取りアクセス許可を確認するvalidate_permissionsメソッドを定義します。

/private-scopedルートでは、定義されたスコープはペイロードに入ってくるスコープと交差され、別の配列から1つ以上の項目が含まれているかを判定します。

アプリケーションコントローラーにSecure concernを追加すると、認可を必要とするコントローラーでbefore_actionフィルターのみを使用すればよいことになります。

パブリックエンドポイント/api/publicを処理するようにコントローラーを作成します。

/publicエンドポイントでは認可は必要でないため、before_actionは必要ありません。

/api/privateと/api/private-scopedというプライベートエンドポイントを処理するようにコントローラーを作成します。

/api/privateは、追加スコープのないアクセストークンを含む認証された要求に使用することができます。

/api/private-scopedは、read:messagesスコープが付与されたアクセストークンを含む認証された要求に使用することができます。

保護されたエンドポイントはSecured concernからauthorizeメソッドを呼び出す必要があります。そのためには、before_action :authorizeを使用します。これによって、Secured.authorizeメソッドがPrivateControllerの各アクションの前に呼び出されます。

APIを呼び出す

APIを呼び出すにはアクセストークンが必要です。テスト用のアクセストークンは、API設定の［Test（テスト）］ビューから取得することができます。

要求のAuthorizationヘッダーにアクセストークンを指定します。

curl --request GET \
--url http://{yourDomain}/api_path \
--header 'authorization: Bearer YOUR_ACCESS_TOKEN_HERE'