OAuth 2.0 認証

認証構成の作成

1. .http ファイルの 実行 リストで、認証構成を追加する環境を選択します。

2. ツールバーで「 」をクリックし、「認証構成 」を選択します。

   これにより、選択した環境の "セキュリティ" にある "Auth" オブジェクト内のパブリック環境ファイルに認証構成テンプレートが追加されます。 例：

   { "dev": { "Security": { "Auth": { "auth-id": { "Type": "OAuth2", "Grant Type": "", "Client ID": "" } } } } }

3. プレースホルダー auth-id を、 .http ファイル内でこの構成を参照するために使用する意味のある名前に置き換えます。

4. 認証パラメーターを指定します。 必要なパラメーターは選択した "Grant Type" によって異なります。 認証パラメーターを入力する際、PhpStorm コーディング支援を使用可能です。パラメーターの名前を入力し始めるか、 Ctrl+Space を押すと、利用可能な JSON 鍵の一覧が表示されます。

HTTP リクエストで認証構成を使用する

認証構成が作成されたら、それを使ってアクセストークンを取得し、リクエストの認証ができます。

1. 認証構成の名前を {{$auth.token()}} 変数に渡します (例: {{$auth.token("my-config")}})。 この変数は、リクエスト Authorization ヘッダーまたはクエリパラメーターで使用できます。

2. 「 」をクリックしてリクエストを送信します。 保護されたリソースにアクセスする前に、HTTP クライアントは認可サーバーにリクエストを送信してアクセストークンを取得します。

3. プロンプトが表示されたら、認証プロセスを完了します。 認証が正常に完了すると、HTTP クライアントは保護されたリソースにアクセスします。

{{$auth.token()}} 変数をすばやく追加するには、ライブテンプレートを使用します：HTTP メソッドのヘッダーセクションで AuthorizationToken と入力し、表示される候補のリストから利用可能な認証を選択します。

このようなリクエストを実行すると、 サービス ツールウィンドウで 認証ログの表示 ボタンが使用できるようになります。 リダイレクトページ、アクセストークン、その他の認証の詳細を表示できます。

アクセストークンを手動で取得する

HTTP リクエストで認証構成を参照すると、HTTP クライアントは、保護されたリソースにアクセスする前にアクセストークンを自動的に取得 (またはリフレッシュ) します。 保護されたリソースに実際のリクエストを送信せずにアクセストークンを取得したい場合は、アクセストークンを手動で取得できます。

1. http-client.env.json ファイルで、認証構成名の横にある をクリックします。

2. 認証構成に プライベート変数が含まれている場合は、表示されるポップアップでプライベート環境ファイルを選択します。

3. プロンプトが表示されたら、認証プロセスを完了します。

認証が正常に完了した場合、PhpStorm がアクセストークンを取得します。 アクセストークンをすでに持っているが有効期限が切れている場合は、PhpStorm がリフレッシュします。

新しいアクセストークンを取得する

トークンをリフレッシュする以外にも再認証、つまり最初のアクセストークン取得に使用した元のフローを繰り返すことで新しいトークンを取得できます。

1. http-client.env.json ファイルで、認証構成名にキャレットを置きます。

2. Alt+Enter (コンテキストアクションの表示) を押して、 認証トークンの強制取得 を選択します。

3. 認証構成に プライベート変数が含まれている場合は、表示されるポップアップでプライベート環境ファイルを選択します。

キャレットが .http ファイル内の $auth.token 変数上にある場合、同じアクションを呼び出すことができます。 この場合、HTTP クライアントは .http ファイルと同じフォルダーにある環境ファイルを使用するため、プライベート環境ファイルを選択する必要はありません。

ブラウザーの Cookie をクリア

認可サーバーは、ブラウザーの Cookie に認証データを保存する場合があります。 異なるデータを使用して認証フローをテストする場合は、組み込みの JCEF ブラウザーの Cookie をクリアする必要がある場合があります。

1. http-client.env.json ファイルで、認証構成名にキャレットを置き、 Alt+Enter (コンテキストアクションの表示) を押します。

2. ブラウザーの Cookie をクリア を選択します。

または、 HTTP クライアント認証ログ ツールウィンドウで をクリックして Cookie をクリアすることもできます。

アクセストークンの代わりに ID トークンを使用する

サーバーでアクセストークンの代わりに ID トークンの使用が必要な場合は、次のいずれかの方法で HTTP クライアントを構成できます：

• 認証構成では、 "Use ID Token": true パラメーターを使用します。

• .http ファイルでは、 $auth.idToken 変数 (例: Authorization: Bearer {{$auth.idToken("auth-id-1")}}) を使用します。

カスタム認証パラメーターを使用する

HTTP クライアントには、認可サーバーが必要とするカスタムリクエストパラメーターを定義するオプションが用意されています。 これには、たとえば、OAuth 2.0 認可フレームワークを拡張する resource や audience が含まれます。

1. 認証構成に、 "Custom Request Parameters" オブジェクトを追加します。

2. "Custom Request Parameters" 内に、パラメーター名と値 (文字列または配列) を入力します。

3. パラメーターの使用を特定のリクエストに制限したい場合は、値を 2 つのキーを持つオブジェクトとして定義します：

   • "値" (パラメーター値)

   • "Use" — パラメーターの使用スコープ。 次の 3 つの値のいずれかになります。

     • "Use": "Everywhere" (いかなるリクエストでも)

     • "Use": "In Auth Request" (認証リクエストのみ)

     • "Use": "In Token Request" (トークンリクエストのみ)

   例：

   "auth-id-1": { "Type": "OAuth2", "Custom Request Parameters": { "audience": { "Value": "https://my-audience.com/", "Use": "In Token Request" }, "resource": [ "https://my-resource/resourceId1", "https://my-resource/resourceId2" ], "my-custom-parameter": "my-custom-value" }, }

HTTP クライアント認証ログ ツールウィンドウを使用して、リクエストで使用されるパラメーターとその値を表示します。

カスタムリクエストヘッダーを使用する

HTTP クライアントには、認可サーバーで必要となる可能性のあるカスタム要求ヘッダーを使用するオプションが用意されています。

1. 認証構成に、 "Custom Request Headers" オブジェクトを追加します。

2. "Custom Request Headers" 内に、ヘッダー名とその値を入力します。

   Ctrl+Space を押すと、 受諾、 Cookie、 User-Agent などの一般的なヘッダーの候補リストが表示されます。

3. ヘッダーの使用を特定のリクエストに制限する場合は、値を 2 つのキーを持つオブジェクトとして定義します。

   • "値" (ヘッダー値)

   • "Use" — ヘッダーの使用スコープ。 次の 3 つの値のいずれかになります。

     • "Use": "Everywhere" (いかなるリクエストでも)

     • "Use": "In Auth Request" (認証リクエストのみ)

     • "Use": "In Token Request" (トークンリクエストのみ)

   例：

   "auth-id-1": { "Type": "OAuth2", "Custom Request Headers": { "Accept": { "Use": "Everywhere", "Value": "application/javascript" }, "my-custom-header": "my-custom-value" }, }