LINE WORKS Developers

コミュニティ

LINE WORKSのテクニカルエキスパート及び開発者と
コードのサンプル、リソース、Tip等を共有し問題解決への相談が可能です。

??dev_메인_타이틀_모바일_ja_JP??

問い合わせ

サービス APIの認証処理について

画像

UeharaYuto

2017.09.18既読 188

サービスAPIの認証処理についてご質問があります。
通常サービスAPIは1つの組織に対して、認証処理をする認識でいます。


しかし、例えば組織Aのコンシューマキー及びクライアントAPI IDで認証するシステムを構築して
組織Bのアカウント情報を入力すると、何故か、Access Tokenが発行されてしまいます。

通常ログイン画面で、別の組織のID及びパスワードを入力した段階で弾かれるのが普通だと思いますが如何でしょうか?
こちらはセキュリティー的にもよろしくないと思います。

ご検証及び、ご回答をよろしくお願いします。

コメント5

  • 画像

    LINE WORKS 公式アカウント

    「組織」について少し整理させていただいてもよろしいでしょうか。
    組織 A と組織 B というのは、tenant ID の異なる別契約のテナントと言うことでよろしいでしょうか。
    それとも、tenant ID が同一で domain ID が異なる状態でしょうか。

    2017.09.19

    0
  • API ID及びドメインが異なる組織と言えばわかりやすいでしょうか?
    全く異なる会社団体です。

    2017.09.20

    0
  • 画像

    LINE WORKS 公式アカウント

    ご確認ありがとうございます。ログイン画面はサービス共通で、Access Token 自体はユーザーアカウントの認証に
    伴うものですので、どの組織のアカウントであっても認証が通るのであれば発行されます。

    その上で、実際の Service API 利用時には AccessToken と API ID /ConsumerKey を発行した組織が
    不一致の場合には認証エラーとなります。API 実行時に error 024 が出ていないかご確認ください。

    2017.09.20

    0
  • どの組織アカウントでも認証が通るということは、サービスAPIにdomainやconsumerKey情報を渡している意味があるのでしょうか?
    API IDのみでも認証が可能であるような気もしますが、如何でしょうか?

    2017.09.26

    0
  • 画像

    LINE WORKS 公式アカウント

    上述の通り、Token 発行と Service API の認証は異なる仕組みとなりますため、Service API の認証においては
    consumerKey の情報が必要となります。また、LINE WORKS は 1テナント内に複数のドメインをもつことができ、
    かつ同テナント内ドメインは全て API ID が共通となりますので、domain 情報も必須としております。
    ご指摘を踏まえ、Token 発行プロセスについて見直しを検討いたします。

    2017.09.27

    0