Auth0 Management APIv2トークンの変更

先ごろ、Management APIv2トークンの取得プロセスを変更しました。この記事では、変更事項、変更の理由、およびその回避方法（推奨されません）について説明しています。

最近まで、Management API Explorerから直接Management APIv2トークンを生成することができました。呼び出すエンドポイントに応じてスコープを選択し、その同じページからトークンを取得しました。

その方法はとても簡単でありましたが、非常に不安定でもありました。そこで、変更を加えました。

新しい方法では、クライアントの資格情報フローが使用されます。新しいプロセスの使い方については、「Management APIのアクセストークン」を参照してください。

トークンを生成するには、Management APIがグローバルクライアントシークレット（トークンの署名に使用）へアクセスする必要がありました。これはWebブラウザに公開されるべきでない情報です。

さらに、API Explorerには認可を行う方法がありません。これは、ユーザーがログインしてAPI Explorerにアクセスできる場合、そのユーザーは許可されていないスコープであっても任意のスコープでトークンを生成できることを意味します。

新しい実装はこのようなリスクをもたらしません。構成し終わったら、Auth0 Dashboardにアクセスするか、POST要求をAuthentication APIの/oauth/tokenエンドポイントに対して行えばトークンを取得できます。

ただし、手動のプロセスに関しては、画面を切り替えることが常に最善のユーザーエクスペリエンスではないことを理解しておりますので、新しいフローをより直感的にする方法を検討しています。

以前のフローでは、トークンは決して有効期限が切れませんでした。新しいフローでは、すべてのManagement APIv2トークンはデフォルトで24時間後に有効期限切れになります。

トークンが有効期限切れにならないと、攻撃者がそれを取得した場合、非常にリスクが高まります。トークンが数時間以内に有効期限切れになる場合、攻撃者が保護されたリソースアクセスできるのはごく短時間のみです。

トークンの取得は、必ず「Management APIのアクセストークン」に記載のプロセスだけに従ってください。