アクセストークン認証フロー

[更新: 2025年10月2日]

概要

アクセストークン認証フローでは、既に認証を終えたクライアントが取得済みのアクセストークンを利用して、APIゲートウェイ経由でサービスへ安全にアクセスします。
APIゲートウェイはトークンの正当性を検証した上で、認証済みの通信を成立させます。

セッションの有効化 を有効にしている場合、トークン検証成功時に認証情報がセッション情報として、APIゲートウェイに保管され、 保管されたセッション情報と紐づくセッションクッキーが sakura-apigw-oidc-session という名前でレスポンスに付与されます。
2度目以降のアクセスでは、セッションクッキーを付与することで、アクセストークンを用いずルートにリクエストすることが可能となります。

処理フロー(セッション無効)

  1. アクセストークン付きリクエスト
    クライアントは、Authorization ヘッダに取得済みのアクセストークンを設定してAPIゲートウェイに対してリクエストを送信します。

  2. トークン検証
    APIゲートウェイはアクセストークンを読み取り、署名とトークン内のクレーム情報を検証します。

  3. サービスへのリクエスト転送
    トークンが有効であれば、APIゲートウェイはアクセストークンを付与してサービスにリクエストを送信します。

  4. レスポンス返却
    サービスからのレスポンスをAPIゲートウェイ経由でクライアントに返却します。

アクセストークンフロー


処理フロー(セッション有効)

  1. リクエスト送信
    クライアントは、Authorizationヘッダに取得済みのアクセストークンを設定し、必要に応じてセッションクッキーも付与してAPIゲートウェイにリクエストを送信します。

  2. セッション・トークン検証
    APIゲートウェイは、まずセッションクッキーがリクエストに含まれているかを確認します。セッションクッキーが含まれている場合にセッションの検証を行い、セッションが有効な場合、APIゲートウェイに保管されているアクセストークンを付与してサービスにリクエストします。
    セッションが無効または未付与の場合のみ、アクセストークンの署名・クレーム情報を検証します。

  3. サービスへのリクエスト転送
    セッション・トークン検証が成立した場合、APIゲートウェイはサービスにリクエストを転送します。

  4. レスポンス返却
    サービスからのレスポンスをAPIゲートウェイ経由でクライアントに返却します。APIゲートウェイでセッションが生成された場合、セッションクッキーが付与されます。

セッション有効アクセストークンフロー