アクセストークン

アクセストークンは、ユーザーがサイトにログインした時に認証サーバで承認されます。アクセストークンは、クライアント、ユーザー、アクセススコープが指定されています。クライアントは顧客情報を取得するためにアクセストークンを利用しなければならず、配送先と支払方法にアクセスすることが許可されます。

アクセストークンは350文字以上の英数字と記号で構成されております。先頭はAtza|で始まります。

アクセストークンを受信した場合は、3つ部分から構成されるJSONフォーマットで構成されています。

  • access_token
  • token_type
  • expires_in(トークン有効期限の秒数)

サンプルは下記の通りです。

 
{  
  "access_token":"Atza|IQEBLjAsAhRmHjNgHpi0U-Dme37rR6CuUpSR...",  
  "token_type":"bearer",  
  "expires_in":3600,  
  "refresh_token":"Atzr|IQEBLzAtAhRPpMJxdwVz2Nn6f2y-tpJX2DeX..."  
}

"expires_in"フィールドは、アクセストークンの有効期限が切れる前にリフレッシュするために利用できます。アクセストークンの期限が切れた場合は、retrieveProfile()呼び出しでエラーハンドリングを行う必要があります。

アクセストークンの取得

ユーザーがログイン後に、Webサイトやモバイルアプリに戻ります。この時点で認証コードはクライアントに送信されます。クライアントIDとクライアントシークレットを利用してAmazonログイン認証サービスを呼び出すことでアクセストークンを含めることができます。

リダイレクトフロー中ではアクセストークンはURLに含まれます。ポップアップフロー中では、Widgets.jsがアクセストークンを引き出すコードがあります。