OAuth 2.0アクセストークンを取得する

Inbound D1 API は OAuth 2.0 JWT ベアラーフロー（RFC 7523）を使用します。あなたのシステムは署名された JSON Web Token（JWT）を次に送信します： /oauth2/token アクセストークンを取得するために。

完全な定義についてはインバウンドの OpenAPI 仕様を使用してください： /oauth2/token 定義。

バックエンド間 API のすべてのリソースは保護されています。アクセスを得るためには、事前に生成されたアクセストークンを HTTP リクエストの Authorization ヘッダーに Bearer スキームを用いて添付する必要があります：

Authorization: Bearer <access_token>

JSON Web Token（JWT）

/oauth2/token REST API は JSON Web Token（JWT）認証（rfc7519）を要求します。この API のクライアントが有効な JWT トークンを発行できることが想定されています。

JWT トークンは Identity Provider（Keycloak など）から要求して取得するか、手動で作成することができます。いずれの場合も、署名検証に使用される公開鍵は API プロバイダのシステムにプロビジョニングされている必要があります。

Identity Provider が利用できない場合、次のセクションでは JWT トークンと JWT を発行および検証するために使用される暗号鍵の生成方法について説明します。

アルゴリズム

"ES256" で署名された JWT のみがサポートされます。JSON Web Algorithms（JWA）を参照してください（rfc7518).

JWT のセキュリティは共有シークレットをバックエンドサーバに保存することを避けるために非対称暗号アルゴリズムに限定されています。その結果、バックエンドサーバはトークンの署名を検証するために使用される公開鍵のみを保存します。

JWT 形式

JWT はドット（.）で区切られた 3 つの部分で構成されます：

• ヘッダー

• ペイロード

• 署名

したがって、JWT は通常次のようになります： hhhhhhh.pppppppp.ssssssssss

ヘッダー

ヘッダー部分には使用するアルゴリズムと生成するトークンの種類が含まれます。

この kid は必須であり、同一顧客の複数の公開鍵の中から適切な鍵を決定するために使用されます。

ヘッダー例：

ペイロード

ペイロードには次のフィールドを含めることができます：

ペイロード例

JWT 署名

ヘッダーとペイロードの両方の暗号学的ハッシュ。

これらの部分は Base64URL エンコードされ、単一のドット（'.'）で区切って連結されます。

鍵ペアの生成方法

次のコマンドを使用して openssl ツールで鍵ペアを生成できます：

例（ES256）

発行者側で使用され、あなたの環境で厳重に保護されなければならない秘密鍵を生成します。

D1 に設定する必要がある公開鍵を生成します。

生成された秘密鍵はクライアント側で JWT に署名するために使用され、生成された公開鍵は kid と共にサーバ側にプロビジョニングされ、これらの JWT の署名を検証するために使用されます（オンボーディング時に顧客と Thales 間で交換されます）。

JWT の生成方法

JWT 生成を支援するツールは多数存在します。

ここでは小さな NodeJS ライブラリを使用して生成する例を示します：

JWT 出力例