OAuth 2.0の概要

*このコンテンツは、ベータ版のAI(人工知能)を使用して翻訳されており、エラーが含まれている可能性があります。このページを英語で表示するには、 こちら をクリックしてください。

Open Cloud APIを使用してRobloxリソースにアクセスするアプリを構築または承認できます。Open Cloudは、OAuth 2.0を使用してこれらのアプリの認証を提供します。

ゲームクリエイターまたはグループオーナーとして

他の人が作成したツールを安全に使用して、あなたの創作生産性を向上させることができます。OAuth 2.0認証レイヤーを使用すると、サードパーティアプリにあなたやあなたのグループのゲームにアクセスする権限を付与することができ、資格情報や個人情報を渡す必要がありません。あなたは特定のRobloxリソースのアクセス権限を選択でき、RobloxはOAuth 2.0フレームワークを使用して認可プロセスを処理します。

アプリ開発者として

あなたはRobloxコミュニティのために自己または他の人のためにアプリを作成できます。OAuth 2.0は、認証プロセスに関与する役割、役割が相互にどのように対話するかのプロトコル、そして安全で互換性のあるアプリを開発するために従う必要がある認証フローを定義します。

役割

Open Cloud OAuth 2.0プロトコルには以下の役割があります。これらの役割が認証フローでどのように相互作用するかを学ぶ前に、特定の役割を理解することが有益です。

  • リソースオーナー: 保護されたリソースへのアクセスを許可できるエンティティ。たとえば、サードパーティアプリがOpen Cloud Web APIを介して自分のRobloxリソースにアクセスすることを許可するクリエイター。

  • リソースサーバー: 保護されたリソースをホストし、リソースオーナーからのリクエストに応じるRobloxサービス。

  • クライアント: リソースオーナーの承認を得て、リソースオーナーに代わって保護されたリソースにアクセスするアプリ。

  • 認可サーバー: リソースオーナーのアイデンティティを認証し、クライアントにアクセストークンを発行するRobloxサーバー。

グラントタイプ

認証フロー、またはグラントタイプは、役割が認証プロセス中に実行するアクションの手順です。RobloxはOAuth 2.0認証コードフローおよびその証明書キー交換(PKCE)拡張をサポートし、クライアントシークレットを保存できるアプリとできないアプリに対して異なる実装要件があります。

認証コードフロー

認証コードフローでは、クライアントが認証コードとアクセストークンおよびリフレッシュトークンを交換して、認証プロセスを完了します。次の手順で行われます:

  1. クライアントはRoblox認可サーバーに認可リクエストを送信します。

  2. 認可サーバーはリソースオーナーのアイデンティティを確認します。

  3. 認可サーバーはリソースオーナーから特定のRobloxリソースへのアクセス権限を受け取ります。

  4. 認可サーバーは、認証コードを持ってリソースオーナーをクライアントにリダイレクトします。

  5. クライアントはトークンエンドポイントで認証コードを使用してアクセストークンをリクエストします。

  6. クライアントはトークンエンドポイントからアクセストークン、IDトークン、リフレッシュトークンを含む応答を受け取ります。

  7. クライアントはアクセストークンを取得した後、許可されたリソースを取得します。

次の図は、後のセクションで説明する認証コードフローでの役割間の相互作用を示しています:

PKCEによる認証コードフロー

認証コードフローのPKCE拡張は、認証コードの漏洩リスクを軽減し、ユーザーを意図しないWebリクエストを送信させる攻撃であるクロスサイトリクエストフォージェリ(CSRF)を防ぐのに役立ちます。このフローは次の手順で認証プロセスを完了します:

  1. クライアントは、すべての認可リクエストごとに_コードバリファイア_と呼ばれる一意で暗号的にランダムなキーを生成します。

  2. クライアントはコードバリファイアにSHA-256ハッシュアルゴリズムを実行して_コードチャレンジ_を生成します。

  3. クライアントが:

    • パブリッククライアントの場合、クライアントシークレットを使用する代わりに、クライアントIDとコードチャレンジを認可リクエストに渡します。

    • クライアントシークレットの場合、要求にクライアントIDとシークレットと共にコードチャレンジを追加します。

  4. クライアントはRoblox認可サーバーに認可リクエストを送信します。

  5. 認可サーバーはリソースオーナーのアイデンティティを確認します。

  6. 認可サーバーはリソースオーナーから特定のRobloxリソースへのアクセス権限を受け取ります。

  7. 認可サーバーは、認証コードを持ってリソースオーナーをクライアントにリダイレクトします。

  8. クライアントはトークンリクエストに認証コードと元のコードバリファイアを含めてトークンエンドポイントに送信します。

  9. 認可サーバーは認証コードと関連するコードバリファイアを検証します。

  10. クライアントはトークンエンドポイントからアクセストークン、IDトークン、リフレッシュトークンを含む応答を受け取ります。

  11. クライアントはアクセストークンを取得した後、許可されたリソースを取得します。

OpenID Connectサポート

Robloxは、OpenID Connect (OIDC)をOAuth 2.0プロトコルの上にあるアイデンティティ層として使用し、アカウント情報を保護します。OIDCはアプリケーションがユーザーのアイデンティティを確認し、ユーザーID、ユーザー名、表示名、プロフィールリンクなどの基本的な公開プロフィール情報を取得することを可能にします。

登録と実装

認証コードフローを使用したWebまたはモバイルアプリを実装するには、次の手順が必要です:

  1. 登録してRobloxでアプリを登録します。 これにより、クライアントIDとシークレットを取得し、Robloxにアプリを登録し、エンドポイントに対して呼び出すことができます。

  2. 実装認証コードフローを行います。呼び出す必要があるOAuth 2.0エンドポイントの完全なリファレンスについては、認証リファレンスを参照してください。

  3. ユーザークォータを増やすためにレビュープロセスを通過します。

©2026 Roblox Corporation。Roblox(ロブロックス)、RobloxロゴおよびPowering Imaginationは、米国並びにその他の国における登録商標および非登録商標です。