> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Auth0 Management APIv2トークンの変更

> Auth0 Management APIv2トークンの生成フローにおける変更、その理由について説明します。

先ごろ、Management APIv2トークンの取得プロセスを変更しました。この記事では、変更事項、変更の理由、およびその回避方法（推奨されません）について説明しています。

## 変更事項とその理由

### ユーザーエクスペリエンス

最近まで、<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=management-api" tip="Management API: 顧客が管理タスクを実行できるようにするための製品。" cta="用語集の表示">Management API</Tooltip> Explorerから直接Management APIv2トークンを生成することができました。呼び出すエンドポイントに応じてスコープを選択し、その同じページからトークンを取得しました。

その方法はとても簡単でありましたが、非常に不安定でもありました。そこで、変更を加えました。

新しい方法では、[クライアントの資格情報フロー](/docs/ja-jp/get-started/authentication-and-authorization-flow/client-credentials-flow)が使用されます。新しいプロセスの使い方については、「[Management APIのアクセストークン](/docs/ja-jp/secure/tokens/access-tokens/management-api-access-tokens)」を参照してください。

#### 変更の理由

トークンを生成するには、Management APIがグローバルクライアントシークレット（トークンの署名に使用）へアクセスする必要がありました。これはWebブラウザに公開されるべきでない情報です。

さらに、API Explorerには認可を行う方法がありません。これは、ユーザーがログインしてAPI Explorerにアクセスできる場合、そのユーザーは許可されていないスコープであっても任意のスコープでトークンを生成できることを意味します。

新しい実装はこのようなリスクをもたらしません。構成し終わったら、<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-jp/glossary?term=auth0-dashboard" tip="Auth0 Dashboard: サービスを構成するためのAuth0の主製品。" cta="用語集の表示">Auth0 Dashboard</Tooltip>にアクセスするか、`POST`要求を[Authentication APIの`/oauth/token`エンドポイント](/docs/ja-jp/api/authentication#client-credentials)に対して行えばトークンを取得できます。

ただし、手動のプロセスに関しては、画面を切り替えることが常に最善のユーザーエクスペリエンスではないことを理解しておりますので、新しいフローをより直感的にする方法を検討しています。

### 有効期間

以前のフローでは、トークンは決して有効期限が切れませんでした。新しいフローでは、すべてのManagement APIv2トークンはデフォルトで24時間後に有効期限切れになります。

#### 変更の理由

トークンが有効期限切れにならないと、攻撃者がそれを取得した場合、非常にリスクが高まります。トークンが数時間以内に有効期限切れになる場合、攻撃者が保護されたリソースアクセスできるのはごく短時間のみです。

トークンの取得は、必ず「[Management APIのアクセストークン](/docs/ja-jp/secure/tokens/access-tokens/management-api-access-tokens)」に記載のプロセスだけに従ってください。
