リフレッシュトークンを用いたアクセストークン再取得操作時のクライアントシークレットについて

kiino

2022.07.29既読 226

## 前提
Postmanを用いてリフレッシュトークンによるアクセストークン再取得を検証しています。
## 起こっていること
クライアントシークレットのパラメータ部分をDeveloper Consoleのページで取得したものではなくデタラメな文字列(画像内では "a")としてものでも200 OKと共に正常にアクセストークンが取得できてしまいました。(下画像)
差分比較サイトで差をとっても正常なクライアントシークレットにより取得したアクセストークンとデタラメなクライアントシークレットで取得したアクセストークンには違いがみられませんでした。(下画像)
## 質問
上画像で同じアクセストークンが取得できたということは、極論、アクセストークン再発行の際のクライアントシークレットはデタラメな文字列でも問題ないということでしょうか。
確認をお願いいたします。

コメント2

  • 업데이트 된 답글입니다.

    LINE WORKS 公式アカウント

    Refresh Tokenを使用したAccess Token取得の際、Client Secretがチェックされていないことを確認しました。
    本事象については今後のバージョンにて修正を予定しております。

    ご報告いただきありがとうございます。

    2022.08.10

    0
  • 업데이트 된 답글입니다.

    kiino 投稿者

    ありがとうございます。
    JWTを用いたアクセストークンとリフレッシュトークン取得の場合はクライアントシークレットが不正値だと400エラー「Client-id or secret is not valid.」が戻ってくることを確認しました。

    2022.08.10

    0
前の投稿 固定メニューとリッチメニューについて
次の投稿トークルーム内のメッセージの取得について
リスト

まだ、解決できませんか?
今すぐ実際に使用しているLINE WORKSユーザーに質問してみましょう。