認可コードフロー

[更新: 2025年7月28日]

概要

認可コードフローでは、クライアントからのアクセスに対し、IdP(Identity Provider)を用いた認証・認可を経て、セッションを確立し、安全にサービスへアクセスします。
ユーザーは最初にIdPで認証され、認可コードを通じてトークンが取得されます。その後、APIゲートウェイがセッションを管理し、認証済みリクエストをサービスへ中継します。

  1. 初回アクセスと認証開始
    クライアントがAPIゲートウェイにアクセスをすると、APIゲートウェイは未認証のためIdPへの認証画面へリダイレクトします。

  2. ユーザー認証と認可コード取得
    クライアントはIdPに必要なクライアント情報を付けてアクセスし、ユーザーがログインします。その後、IdPから認可コードを含むリダイレクトが返されます。

  3. トークン取得
    クライアントは認可コードをAPIゲートウェイに送信。APIゲートウェイは認可コードを検証し、IdPからIDトークン、アクセストークン、リフレッシュトークンを取得します。

  4. セッション確立
    トークンの検証が完了すると、APIゲートウェイはセッションID(SID)を含むセッションクッキーをクライアントに設定してリダイレクトします。

  5. 認証済みアクセスとサービス連携
    以後、クライアントはセッションクッキー付きでリクエストを送信。APIゲートウェイはセッションを検証し、アクセストークンを使用してサービスにリクエストを転送します。

  6. レスポンス返却
    サービスからのレスポンスをAPIゲートウェイ経由でクライアントに返却します。

処理フロー

認可コードフロー