アクセストークン認証フロー
[更新: 2025年10月2日]
概要
アクセストークン認証フローでは、既に認証を終えたクライアントが取得済みのアクセストークンを利用して、APIゲートウェイ経由でサービスへ安全にアクセスします。
APIゲートウェイはトークンの正当性を検証した上で、認証済みの通信を成立させます。
セッションの有効化
を有効にしている場合、トークン検証成功時に認証情報がセッション情報として、APIゲートウェイに保管され、
保管されたセッション情報と紐づくセッションクッキーが sakura-apigw-oidc-session
という名前でレスポンスに付与されます。
2度目以降のアクセスでは、セッションクッキーを付与することで、アクセストークンを用いずルートにリクエストすることが可能となります。
処理フロー(セッション無効)
アクセストークン付きリクエスト
クライアントは、Authorization ヘッダに取得済みのアクセストークンを設定してAPIゲートウェイに対してリクエストを送信します。トークン検証
APIゲートウェイはアクセストークンを読み取り、署名とトークン内のクレーム情報を検証します。サービスへのリクエスト転送
トークンが有効であれば、APIゲートウェイはアクセストークンを付与してサービスにリクエストを送信します。レスポンス返却
サービスからのレスポンスをAPIゲートウェイ経由でクライアントに返却します。

処理フロー(セッション有効)
リクエスト送信
クライアントは、Authorizationヘッダに取得済みのアクセストークンを設定し、必要に応じてセッションクッキーも付与してAPIゲートウェイにリクエストを送信します。セッション・トークン検証
APIゲートウェイは、まずセッションクッキーがリクエストに含まれているかを確認します。セッションクッキーが含まれている場合にセッションの検証を行い、セッションが有効な場合、APIゲートウェイに保管されているアクセストークンを付与してサービスにリクエストします。
セッションが無効または未付与の場合のみ、アクセストークンの署名・クレーム情報を検証します。サービスへのリクエスト転送
セッション・トークン検証が成立した場合、APIゲートウェイはサービスにリクエストを転送します。レスポンス返却
サービスからのレスポンスをAPIゲートウェイ経由でクライアントに返却します。APIゲートウェイでセッションが生成された場合、セッションクッキーが付与されます。
