概要
ここでは、Dropbox API によるアプリでの認可時に利用できる複数の新機能を紹介します。Dropbox では、認可に OAuth 2.0 を使用していますが、2020年8月以来 スコープ、PKCE、更新トークンへの対応を開始し、アプリでの適切な認可モデルと権限レベルの選択が、より簡単にできるようになっています。
スコープ
スコープを使用すると、認可時に特定の権限(API コールのグループ)をユーザーにリクエストできます。以前、当社の API では、アプリの「タイプ」でコールに対するアクセスを固定していました。現在では、各 API コールはスコープの一部となり、よりきめ細かく、最小限のアクセスをリクエストできるようになっています。また、権限が後で必要になった場合に限り、スコープによって、エンド ユーザーに追加で権限をリクエストすることもできます。 たとえば、アプリケーションで最初に必要な操作がユーザーの本人確認のみで、後になってからファイルの閲覧や、編集、共有の権限をリクエストするといった使い方です。このようなことが、スコープで可能になりました。
異なるレベルのスコープが選択された認可画面の比較
スコープによって、チームの権限も後からリクエストできます。User API と Business API に対応するアプリをそれぞれ構築する必要はなくなりました。 スコープを使用して構築されたアプリでは、エンド ユーザーには、これらの権限について知らせる新しい OAuth 画面が表示されます。
PKCE
PKCE への対応も提供しています。PKCE は、動的なクライアント シークレットを有効にする OAuth プロトコルの拡張機能です。クライアント シークレットの安全性を保証できないパブリック クライアントに向けて設計されています。PKCE は、このようなタイプのアプリケーションにおける古い Implicit Grant を改善するものです。 デスクトップ、モバイル、単一ページの JavaScript、オープン ソースなどのアプリを構築し、自身が管理していないインフラストラクチャに導入する場合には、この手法を必ず利用してください。
更新トークン
最後に、更新トークン対応の追加も完了していることをご案内します。更新トークンとともに短期アクセス トークンを使用すれば、長期アクセス トークンよりもセキュリティが強化されます。バックグラウンドでのアクセスを必要とするアプリには、必ずこのトークンを使用してください。 更新トークンの使用には、コードを追加する必要がありますが、Dropbox では SDK を更新して、コードを簡単に追加できるようにしています。
移行
すでに Dropbox アプリの構築を終えていても(または構築中でも)、心配ありません。既存のアプリに対する変更はなく、すぐに移行する必要はありません。レガシー アプリとトークン タイプは、デベロッパー コンソールでしばらくの間、選択可能です。Dropbox では、2021 年 9 月 30 日にこれらのレガシー タイプを廃止する予定ですので、既存のアプリで対応する等の準備を進めていただければと思います。 既存のアプリでは、アプリ コンソールで権限をスコープに移行するか、または直ちに PKCE と更新トークン(またはそのどちらか)を組み込むかを選択できます。移行に関するガイドと例をウェブで公開していきますので、どうぞご参照ください。
使用開始について
本機能の使用を開始する際には、最新の OAuth ガイドをご確認ください。 本件についてご不明な点がありましたら、Dropbox フォーラムのディスカッションにご投稿ください。また、直接のサポートをご希望の場合は、こちらまでご連絡ください。
