認証とトークンのブートストラップ
認証およびトークン ブートストラップ機能は、受信トレイ マネージャーが auth.inbox-manager.com からの信頼を受け入れ、それをすべての API リクエストに適用する方法を定義します。
アカウントベースの認証が与えられるため、各呼び出しは適切なアカウントとロールに対して実行されます。
なぜこれが重要なのか
この機能は、ビジネス ハンドラーを実行する前にトークンの ID とスコープを検証し、承認を厳密かつ予測可能に保ちます。また、認証ドメイン トークンの発行と受信トレイ マネージャー エンドポイントの間の明確な境界を維持しながら、保護されたルート全体でアカウントとロールのチェックの一貫性を保ちます。
コアフロー
クライアントは auth.inbox-manager.com にサインインしてトークンを取得し、必要に応じてアカウント トークンを取得します。 Inbox Manager は、発行者、対象者、署名、および必要なクレームを検証し、トークンのアカウントとロールのリクエストを実行します。無効なトークンまたは不完全なトークンは、機能ロジックが実行される前に拒否されます。
操作
| 操作 | エンドポイント | 目的 |
|---|---|---|
| サインイン (外部) | POST https://auth.inbox-manager.com/auth/sign-in | ユーザーを認証してトークンのライフサイクルを開始する |
| OAuth トークンの発行 (外部) | POST https://auth.inbox-manager.com/oauth2/token | パブリックまたはバックエンド クライアント用のトークンを発行する |
| アカウントトークンの導出 (外部) | POST https://auth.inbox-manager.com/api/accounts/:account_id/token | API 呼び出し用のアカウント スコープのトークンを作成する |
| JWKS ディスカバリー (外部) | GET https://auth.inbox-manager.com/.well-known/jwks.json | JWT 検証用の署名キーを取得する |
| OIDC 検出 (外部) | GET https://auth.inbox-manager.com/.well-known/openid-configuration | クライアントの OAuth/OIDC メタデータを取得する |
| サブスクリプション所有者のパススルー | GET /api/subscriptions および関連する /api/subscriptions* | 承認されたプロキシ ルートを通じて所有者のサブスクリプションを実行し、アクションを計画します。 |
主要なデータと状態
| クレーム | 受信トレイマネージャーでの役割 |
|---|---|
uid | 代理ユーザーを識別します |
app | トークン内のアプリケーション ID を識別します。 |
acc | 承認された操作用のアカウントを選択します |
role | アカウントレベルの機能を制限する |
aud | 予想される受信トレイ マネージャーの対象ユーザーと一致する必要があります |
iss | 構成されたトークン発行者と一致する必要があります |
故障モードと制御無効な署名、発行者と対象者の不一致、および必要なクレームの欠落により、暗黙的なフォールバック動作ではなく即座に拒否が発生します。アカウント スコープのルート上のトークン/アカウントの不一致は、クロスアカウント アクセスを防ぐためにブロックされ、認証ドメインの依存関係の失敗によって検証要件がバイパスされることはありません。
関連
アカウント、メンバーシップ、01-auth-and-token-bootstrap、10-auth-backend-admin-flow。