実現したいこと

以下のcurlコマンドをjavascriptで再現したいのですがうまくいきません。

curl
1curl --request POST \
2  --url https://testdomain/oauth2/v1/token \
3  --header 'accept: application/json' \
4  --header 'cache-control: no-cache' \
5  --header 'content-type: application/x-www-form-urlencoded' \
6  --data 'grant_type=authorization_code&client_id=0oabygpxgk9lXaMgF0h7&redirect_uri=yourApp%3A%2Fcallback&code=CKA9Utz2GkWlsrmnqehz&code_verifier=M25iVXpKU3puUjFaYWg3T1NDTDQtcW1ROUY5YXlwalNoc0hhakxifmZHag'

発生している問題・分からないこと

postmanで試した結果、正しい結果を取得できることは確認できましたが
javascriptで正しい結果を得ることができません。

該当のソースコード

javascript
1        var restAPIURL=this.baseURL+"oauth2/v1/token";
2        var req = new XMLHttpRequest(); // HTTPでファイルを読み込むためのXMLHttpRrequestオブジェクトを生成
3        req.open("POST",restAPIURL, false); // アクセスするファイルを指定
4        req.setRequestHeader("Accept","application/json");
5        req.setRequestHeader("cache-control","no-cache");
6        req.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
7
8        var postData='grant_type=authorization_code'
9        +'&redirect_uri='+encodeURIComponent(this.config.redirectUri)
10        +'&code='+this.config.authorization_code
11        +'&code_verifier='+code_verifier;
12
13req.send(encodeURIComponent(postData));

試したこと・調べたこと

teratailやGoogle等で検索した
ソースコードを自分なりに変更した
知人に聞いた
その他

上記の詳細・結果

以下の参考にしているページを張ります。

https://developer.okta.com/docs/guides/implement-grant-type/authcodepkce/main/?_gl=1%2a1eox44n%2a_ga%2aMTM4ODUxMDU4Ny4xNzEyNzEzODE4%2a_ga_QKMSDV5369%2aMTcxMjcxMzgxNy4xLjEuMTcxMjcxMzgyMS41Ni4wLjA.&_ga=2.44795940.1465596206.1712713818-1388510587.1712713818

補足

特になし

maisumakun

2024/04/10 02:15

そもそも論ですが、そのトークンは書いて大丈夫なものでしょうか？（回答すると質問自体が削除されづらくなってしまうので、問題がないことを確認してから回答に移りたい、という感覚です）

tamina0624

2024/04/10 02:26

はい、書いてはいけないものは削除しています。

maisumakun

2024/04/10 03:01

> javascriptで正しい結果を得ることができません。具体的に、どうなっているのですか？

tamina0624

2024/04/10 03:26

以下のようなエラーが発生します。 {"error":"invalid_client","error_description":"Browser requests to the token endpoint must use Proof Key for Code Exchange."}

maisumakun

2024/04/10 03:58

> 以下のようなエラーが発生します。書かれたメッセージから調べてみたこと、試したことなどはありませんか？

tamina0624

2024/04/10 04:04

以下のページにたどり着き、bodyにcode_verifierを追加しました。 https://developer.okta.com/docs/guides/implement-grant-type/authcodepkce/main/?_gl=1%2a1eox44n%2a_ga%2aMTM4ODUxMDU4Ny4xNzEyNzEzODE4%2a_ga_QKMSDV5369%2aMTcxMjcxMzgxNy4xLjEuMTcxMjcxMzgyMS41Ni4wLjA.&_ga=2.44795940.1465596206.1712713818-1388510587.1712713818

Lhankor_Mhy

2024/04/10 04:42

これではないですか？ https://support.okta.com/help/s/article/Browser-requests-to-the-token-endpoint-must-use-Proof-Key-for-Code-Exchange?language=en_US

tamina0624

2024/04/10 05:22

ありがとうございます。 postmanでヘッダにOrigin要素を追加したところ同じエラーを確認できました。

Lhankor_Mhy

2024/04/10 06:58

ご解決ということでよろしいでしょうか？

tamina0624

2024/04/11 04:06

はい、解決しました。ご協力ありがとうございました。

Lhankor_Mhy

2024/04/11 04:23

それは何よりです。お手数ですが、自己解決の処理をお願いします。 https://teratail.com/help#resolve-myself

行動規範の内容に同意します

回答3件

js
1req.send(encodeURIComponent(postData));

この encodeURIComponent() が余計かもしれません。

FormData や URLSearchParams を使うとエスケープ処理をいちいち書かなくて済みます。

js
1let postData = new FormData();
2postData.append('grant_type', 'authorization_code');
3postData.append('redirect_uri', this.config.redirectUri);
4postData.append('code', this.config.authorization_code);
5postData.append('code_verifier', code_verifier);
6req.send(postData);

投稿2024/04/10 03:16

int32_t

総合スコア21927

tamina0624

2024/04/10 04:06

ダメでした。以下のエラーが出ます。 {\"error\":\"invalid_client\",\"error_description\":\"Browser requests to the token endpoint must use Proof Key for Code Exchange.\"}" code_verifierパラメータを認識していないように見えます。

int32_t

2024/04/10 04:17

> code_verifierパラメータを認識していないように見えます。では変数 code_verifier の内容が間違っているのではないでしょうか。ブラウザの開発者ツールで何が送られているか確認できるので、意図した値になっているか確認してください。

tamina0624

2024/04/10 04:25

はい、値をconsoleに出力して、postmanで同じパラメータで試すとうまくいきます。。。

int32_t

2024/04/10 04:31

JavaScript の方では client_id パラメータを設定していないように見えますが、そこは大丈夫なのでしょうか。

tamina0624

2024/04/10 04:42

はい、postmanを確認したところclient_idがない状態で動いていました。

行動規範の内容に同意します

javascriptで正しい結果を得ることができません。

相手サーバがCORSに対応していなければ、ブラウザJavaScriptから結果を取得することはできません。

投稿2024/04/10 02:48

maisumakun

総合スコア146543

tamina0624

2024/04/10 02:53

cors対応されているようです。

maisumakun

2024/04/10 03:56

それは失礼いたしました。

行動規範の内容に同意します

ベストアンサー

調整版

javascript
1const req = new XMLHttpRequest();
2const data={
3grant_type:'authorization_code',
4redirect_uri:'sampleURI',
5code:'sampleCode',
6code_verifier:'sampleVerifierテスト',
7};
8
9const postData=Object.entries(data).map(x=>`${encodeURIComponent(x[0])}=${encodeURIComponent(x[1])}`).join('&');
10req.open('POST',restAPIURL);
11req.setRequestHeader("Accept","application/json");
12req.setRequestHeader("cache-control","no-cache");
13req.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
14req.onload = function() {
15  console.log(JSON.parse(this.response));
16};
17req.send(postData);

きょうび、fetchで送るほうが楽だとおもいます。
fetchの場合データはformDataで格納すればエンコードも必要ありません

参考

参考までにUSP版も

javascript
1const req = new XMLHttpRequest();
2const data={
3grant_type:'authorization_code',
4redirect_uri:'sampleURI',
5code:'sampleCode',
6code_verifier:'sampleVerifierテスト',
7};
8const postData = Object.entries(data).reduce((x,y)=>(x.append(y[0],y[1]),x),new URLSearchParams());
9req.open('POST',restAPIURL);
10req.responseType = 'json';
11req.setRequestHeader("Accept","application/json");
12req.setRequestHeader("cache-control","no-cache");
13req.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
14req.onload = function() {
15  console.log(this.response);
16};
17console.log(postData);
18req.send(postData);