アクセス権限付与タイプ

OAuthフローでアプリケーションの最も重要なステップは、アプリケーションがアクセス・トークン(オプションでリフレッシュ・トークン)を受け取ることです。権限タイプは、トークンの取得に使用されるメカニズムです。OAuthは、様々な認可メカニズムを表す複数のアクセス付与タイプを定義します。

クライアント・アプリケーションに指定された権限付与タイプに応じて、アプリケーションは様々な方法でアクセス・トークンをリクエストして、保護されたエンドポイントにアクセスできます。権限付与とは、保護されているリソースにアクセスするためのリソース所有者の認可を表す資格証明です。トラスト・アプリケーション(バックエンド・サービスなど)は、ユーザーのかわりにアクセス・トークンを直接リクエストできます。これは、OAuth 2レッグ認可フローです。通常、OAuth Webアプリケーションでは、最初にユーザーのアイデンティティを検証し、必要に応じてユーザーの承諾を得る必要があります。これは、OAuth 3レッグ認可フローです。

たとえば、リソース所有者付与タイプを使用する場合は、アクセス・トークンを取得するための認可付与として、リソース所有者のパスワード資格証明(ユーザー名とパスワード)を直接使用できます。クライアント資格証明権限付与タイプを使用する場合は、クライアントがOAuthサービスを使用して認証し、アクセス・トークンをリクエストします。アサーション権限付与を使用する場合は、アクセスをリクエストするときにユーザー・アサーションがクライアント情報とともに送信されます。

ノート

複数の権限付与タイプを1つのアプリケーションに関連付けることができますが、アプリケーションで使用する必要がある権限付与タイプのみを選択することをお薦めします。権限付与タイプを追加するたびに、アプリケーションはいずれかの権限付与タイプを使用してアイデンティティ・ドメインと通信できるようになります。ただし、アプリケーションは実行時に、使用する権限付与タイプを選択します。