質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
OAuth

OAuth(Open Authorization)は、APIを通して保護されたリソース(サードパーティのアプリケーション)へアクセスする為のオープンプロトコルです。

OAuth 2.0

OAuth 2.0(Open Authorization 2.0)は、APIを通して保護されたリソース(サードパーティのアプリケーション)へアクセスする為のオープンプロトコルです。

解決済

OAuth2.0: refresh_tokenでaccess_tokenを再発行した時の挙動について

chunt
chunt

総合スコア13

OAuth

OAuth(Open Authorization)は、APIを通して保護されたリソース(サードパーティのアプリケーション)へアクセスする為のオープンプロトコルです。

OAuth 2.0

OAuth 2.0(Open Authorization 2.0)は、APIを通して保護されたリソース(サードパーティのアプリケーション)へアクセスする為のオープンプロトコルです。

1回答

0評価

0クリップ

1002閲覧

投稿2018/12/01 05:42

編集2018/12/01 06:02

背景

あるサービスがOAuth2.0に対応しているAPIを公開していまして、
そのAPIを利用したアプリケーションを個人的に開発しております。

利用しているAPIはリフレッシュトークンフローを採用しており

  • 有効期限が短いaccess_token
  • 有効期限が長いrefresh_token

が発行され、access_tokenの有効期限が切れた場合に、ユーザーの再認証なしに、
refresh_tokenで新しいaccess_tokenが取得できるようになっています。
(refresh_token自体も新しく発行される)

質問

ここで質問なのですが、

有効期限が切れてないaccess_token(①)があり、
それをrefresh_token(②)を使用して再発行を行った場合、
新しいaccess_token(③)と新しいrefresh_token(④)が取得できると思います。

感覚的には再発行を行なった時点で①と②は無効になる気がしてましたが、
どうやら、①でサービスにアクセスできユーザーの情報を取得することも可能であり、②でさらに新しいaccess_tokenを発行できるようです。

この挙動はOAuth2.0の仕様なのでしょうか。
それとも、サービス固有なものなのでしょうか。

ご教示いただけると幸いです。
よろしくお願い致します。

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

OAuth

OAuth(Open Authorization)は、APIを通して保護されたリソース(サードパーティのアプリケーション)へアクセスする為のオープンプロトコルです。

OAuth 2.0

OAuth 2.0(Open Authorization 2.0)は、APIを通して保護されたリソース(サードパーティのアプリケーション)へアクセスする為のオープンプロトコルです。