[son]

access tokenの取得についての質問

APIについて確認を始めたばかりで、初歩的なご質問で申し訳ありません。

（１）access tokenを取得するとき、必要になっている認証コード（Authorization code）の取得方法を確認したいです。

　自分はIEなどで認証コード（Authorization code）の取得するURLを使用して取得できることをわかりますが、Javaなどで自動取得する方法がありますか？

（２）access tokenが有効期間内か、有効期間切れたかの判別方法がありますか？

（３）refresh tokenの有効期間はaccess tokenと同じですか？

（４）APIを呼び出すとき、毎回refresh tokenよりaccess tokenを再度取得する必要がありますか？

　　　もしくは、有効期間外切れ場合だけ、access tokenを再度取得する必要がありますか？

（５）access tokenを必ず自分で廃棄しないといけないですか？

以上、宜しくお願い致します。

[freee dev-support]

お世話になっております。

お問い合わせありがとうございます。ご質問に対して回答致します。

⑴について
大変恐縮ではございますが、現在確認しております。
確認でき次第、改めて連絡いたしますので、お時間をいただけますと幸いです。

⑵について
アクセストークンの有効期限は24時間になります。
そのため、有効期間内か期間外かはアクセストークンを取得した日時が利用する時間の24時間以内かを確認していただくことで判別することが出来ます。

⑶について
リフレッシュトークンの有効期間は、次のリフレッシュトークンを取得するまでとなります。
次のリフレッシュトークンを取得するまでとは、現在取得しているリフレッシュトークンを利用して、アクセストークンを取得するまでとなります。
※この期間に制限はないです。しかし、利用回数は1度のみになります。

⑷について
毎回は取得する必要はございません。
アクセストークンの利用回数は制限がなく、利用期間が24時間になります。
そのため、有効期間が切れてしまった場合のみ、再度取得していただきますようお願い申し上げます。

⑸について
アクセストークンの有効期限を24時間としており、必ずご自身で廃棄する必要はございません。
しかしセキュリティをより強固にするためには、お客様自身で破棄の処理をしていただく必要があるため、ご注意くださいませ。

どうぞよろしくお願い致します。

[freee dev-support]

⑴について、確認いたしましたのでご報告いたします。

自動取得することは可能です。

freeeの認可はOAuth2.0のRFC(https://tools.ietf.org/html/rfc6749)に則っているため、認可URL先にてユーザーが認証すると、アプリ管理画面の「コールバックURL」に設定したURLに認可コードが自動で返却されます。
（現在は上記コールバックURLを「urn:ietf:wg:oauth:2.0:oob」として、ユーザー認証後にブラウザに認可コードが表示される状態かと存じます）

※コールバックURLに指定して、返却された認可コードをキャッチするにはどのような実装をすれば良いか等につきましては、JavaでのOAuth2.0認可に関する書籍等をご参考いただき、ライブラリ等の活用もご検討いただければと存じます。

どうぞよろしくお願いいたします。