ユーザーの認可されたアプリ (グラント) を管理する
アプリのグラントは、特定のクライアントアプリケーションに対するユーザーの認可状態を表します。
ユーザーや管理者が認可されたアプリを確認し、全体の Logto セッションを取り消すことなくアプリのアクセスを取り消す必要がある場合に、グラント管理を使用します。
グラントが取り消されると、それらのグラントに対して以前に発行された不透明トークン (Opaque token) とリフレッシュ トークン (Refresh token) は無効になります。
適切なパスを選択する
| シナリオ | 推奨パス |
|---|---|
| サインインしたユーザーが自分のアプリの認可を管理する | Account API |
| 管理者やサポートチームがターゲットユーザーのグラントを管理する | Management API |
| オペレーターが UI でサードパーティアプリの認可を管理する | Admin Console |
直接グラント管理 API
Account API (セルフサービス)
エンドユーザーのアカウント設定ページで Account API を使用します:
GET /api/my-account/grantsDELETE /api/my-account/grants/{grantId}- 参照: ユーザーの認可されたアプリ (グラント) を管理する
Management API (管理ツール)
管理ツールやサポートワークフローで Management API を使用します:
GET /api/users/{userId}/grantsDELETE /api/users/{userId}/grants/{grantId}- 参照: ユーザーの認可されたアプリ (グラント) を管理する
アプリタイプでグラントリストをフィルタリングする
グラントリストのエンドポイントは、オプションのクエリパラメーター appType をサポートしています:
appType=firstParty: ファーストパーティアプリのグラントのみをリストします。appType=thirdParty: サードパーティアプリのグラントのみをリストします。appTypeを省略: すべてのアクティブなグラントを返します。
コンソールでサードパーティアプリの認可を管理する
Logto コンソールでは、ユーザー詳細ページを使用して認可されたサードパーティアプリを表示および取り消すことができます。
セッションを取り消す際にグラントを取り消す
DELETE /api/my-account/sessions/{sessionId} を使用してセッションを取り消す際に、オプションのクエリパラメーター revokeGrantsTarget を使用してグラントの取り消し範囲を制御します:
all: セッションに関連付けられたすべてのアプリのグラントを取り消します。firstParty: ファーストパーティアプリのグラントのみを取り消します。
セッションレベルの動作とエンドポイントのコンテキストについては、ユーザーセッションを管理する と サインアウト を参照してください。
関連リソース
セッション ユーザーセッションを管理するAccount API によるアカウント設定: ユーザーの認可されたアプリ (グラント) を管理する
Management API によるアカウント設定: ユーザーの認可されたアプリ (グラント) を管理する