下記の通り、freee APIの仕様変更を予定しています。
freee APIをご利用されている開発者の皆さまにおかれましては、新仕様の確認ならびに必要に応じてアプリの改修などの対応をご検討いただきますよう、よろしくお願い申し上げます。
変更の概要
- freee API リフレッシュトークンの有効期限を「有効期限なし」から、「発行後90日間」に変更します。
変更理由
- freee API セキュリティ強化のため。
変更時期
- 2023年12月頃
影響範囲
- この変更は、全てのfreee API リフレッシュトークンに関わります。
- なお、freee APIを利用するアプリにおいて、大部分のアプリはこの変更の影響を受けないことが確認できております。大部分のアプリは、リフレッシュートークンを用いたアクセストークン生成を90日以内の間隔で行っていることが確認できているためです。
- 【有効期限の影響を受ける場合】
- (アクセストークンと同時に発行された)リフレッシュトークンを、発行後91日以上経ってから利用する実装があるアプリ。
- リフレッシュトークンを用いたアクセストークンの再発行を定期的に(90日以内に)行っていないアプリ。
- 【有効期限の影響を必ずしも受けない場合】
- ユーザーが90日以上freeeにログインしない場合
- 該当アプリが、内部的にアクセストークンの再発行を(90日以内に)行っていれば影響を受けることはありません。
- ユーザーが90日以上freeeにログインしない場合
- アクセストークン・リフレッシュトークンの概要については以下のページも併せてご参照ください。
- この変更は、有効期限適用後に発行されたリフレッシュトークンだけでなく、有効期限適用前に発行された全てのリフレッシュトークンにも関わります。
- 90日の有効期限は「有効期限が適用されてから」ではなく、「リフレッシュトークンが発行されてから」となります。
必要な対応内容
- 既存のアプリにつきまして、 必要に応じて「リフレッシュトークンが無効の場合(有効期限切れの場合)、認可コードの再取得を行う」仕様を実装してください。
- なおリフレッシュトークンの有効期限が切れていた場合は、現在無効なリフレッシュトークンを利用した際にも出力される、以下の401エラーが出力されます。
{
"error": "invalid_grant",
"error_description": "指定された認可グラントは不正か、有効期限切れか、無効か、リダイレクトURIが異なるか、もしくは別のクライアントに適用されています。"
}