[17.0.0.3 and later]

OpenID Connect の失効エンドポイントの起動

失効エンドポイントにより、アクセス・トークンまたはリフレッシュ・トークンの保有者から OpenID Connect プロバイダーに、発行されたトークンは不要になったため失効させられる必要があることを通知できます。失効エンドポイントは、OpenID Connect または OAuth 認証を介して取得されたトークンを失効させることができます。

OAuth 2.0 トークン失効について詳しくは、https://tools.ietf.org/html/rfc7009 を参照してください。

始める前に

クライアント・アプリケーションは、通常の OAuth 2.0 クライアントとして OpenID Connect サーバーに登録してからでないと、失効エンドポイントを起動できません。

このタスクについて

失効エンドポイントは、アクセス・トークンまたはリフレッシュ・トークンを含んでいるクライアントからの要求を受け入れます。そのトークンが OpenID Connect サーバーで有効な場合、無効化されます。そのトークンがリフレッシュ・トークンである場合、それに関連付けられたすべてのアクセス・トークンも無効化されます。

OpenID Connect が有効になった Liberty サーバーは、 以下の URL で OpenID Connect トークン・エンドポイントにアクセスできます。

https://server.example.com:443/oidc/endpoint/provider_name/revoke

この例の URL では、OpenID Connect プロバイダーの SSL ポートが 443 であると想定されています。

手順

  1. 登録された OpenID Connect Client のクライアント ID とパスワードを POST 要求の HTTP Basic Authorization ヘッダーに入れて、 クライアント認証をセットアップします。application/x-www-form-urlencoded エンコード・アルゴリズムを使用してクライアント ID およびパスワードをエンコードします。エンコードされたクライアント ID がユーザー名として使用され、 エンコードされたパスワードがパスワードとして使用されます。
  2. アクセス・トークンのストリング値を、失効エンドポイントへの POST 要求に token パラメーターとして組み込みます。
  3. POST 要求を失効エンドポイントに送信します。

次の例は、失効エンドポイントに送信される HTTP 要求を示しています。

POST /revoke HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

token=45ghiukldjahdnhzdauz&token_type_hint=access_token

許可サーバーは、トークンが正常に失効した場合、または、クライアントが無効なトークンをサブミットした場合、HTTP 状況コード 200 の応答を返します。


トピックのタイプを示すアイコン タスク・トピック

ファイル名: twlp_oidc_revoke.html