2.4.3.2. 暗黙的

暗黙的フローリダイレクトは承認コードフローと同じような機能ですが、アクセストークンおよび ID トークンが返される承認コードを返す代わりに、このフローが返されます。これにより、追加の呼び出しでアクセストークンの承認コードを交換する必要がなくなります。ただし、更新トークンは含まれません。その結果、有効期限の長いアクセストークンを許可する必要があります。これは、これらを無効にするのが非常に難しいため、問題があります。または、最初のアクセストークンの期限が切れたら、新しいアクセストークンを取得するために新しいリダイレクトが必要になります。暗黙的フローは、アプリケーションがユーザーを認証し、ログアウト自体を処理する場合に便利です。

また、アクセストークンと承認コードの両方が返されるハイブリッドフローもあります。

注意すべき点の 1 つは、アクセストークンが Web サーバーのログやブラウザーの履歴から漏洩する可能性があるため、暗黙的なフローとハイブリッドフローの両方に潜在的なセキュリティーリスクがあることです。これは、アクセストークンに短い有効期限を使用することでいくらか軽減されます。

詳細については、OpenID Connect 仕様の 「Implicit Flow」を参照してください。