# ウェブアプリにLINEログインを組み込む

このページでは、OpenID Connect (opens new window)プロトコルをサポートし、ユーザー情報をIDトークンで取得できるLINEログインをウェブアプリに組み込む方法を説明します。 LINEログインを組み込めるアプリがない場合は、サンプルアプリを利用できます。「LINEログインを始めよう」を参照してください。

注意

# ログインのフロー

ウェブアプリ向けのLINEログインの処理(ウェブログイン)は、OAuth 2.0の認可コード付与のフロー (opens new window)OpenID Connect (opens new window)プロトコルに基づいています。 ウェブログインのフローの概要は以下のとおりです。 フロー図で「Web app」が関係しているフローは、ウェブアプリで実装が必要です。

Web login flow

# チャネルを作成する

「LINEログインチャネル」を作成し、ウェブアプリ用に設定します。

# コールバックURLを設定する

コールバックURLは、ユーザーが認証と認可の操作を行ったあとで、ウェブアプリが認可コードとstateを受け取るために使用されます。

LINE Developersコンソールのチャネル設定の[LINEログイン設定]タブで、コールバックURLを設定してください。 1つのチャネルに、複数のコールバックURLを指定できます。

リダイレクト設定

# メールアドレスの取得権限を申請する

LINEログイン v2.1を使用する場合は、LINEログインを使ってログインしたユーザーのメールアドレスを取得できます。

ウェブアプリでユーザーのメールアドレスを取得する場合は、あらかじめ、LINE Developersコンソールからメールアドレス取得権限を申請してください。

  1. チャネル基本設定]タブの[OpenID Connect]で、 [申請]をクリックします。

    メールアドレス取得権限の申請

  2. 申請条件に同意して、メールアドレスの取得と利用についてユーザーに提示する文面のスクリーンショットをアップロードします。

    申請が受理されると[メールアドレス取得権限]に「申請済み」と表示されます。

# ユーザーに認証と認可を要求する

LINEプラットフォームとユーザーの間で、認証と認可のプロセスを開始させます。 ユーザーがLINEログインボタンをクリックしたときに、以下の例のように認可URLに必須のクエリパラメータを付けてユーザーをリダイレクトしてください。

https://access.line.me/oauth2/v2.1/authorize?response_type=code&client_id=1234567890&redirect_uri=https%3A%2F%2Fexample.com%2Fauth&state=12345abcde&scope=profile%20openid&nonce=09876xyz

認可URLに付与できるクエリパラメータは、以下のとおりです。

パラメータ タイプ 必須 説明
response_type String 必須 code
client_id String 必須 LINEログインチャネルのチャネルID。LINE Developersコンソールで確認できます。
redirect_uri String 必須 LINE Developersコンソールに登録したコールバックURL
state String 必須 クロスサイトリクエストフォージェリ (opens new window)防止用の固有な英数字の文字列。 ログインセッションごとにウェブアプリでランダムに生成してください。 なお、URLエンコードされた文字列は使用できません。
scope String 必須 ユーザーに付与を依頼する権限。詳しくは、「スコープ」を参照してください。
nonce String 任意 リプレイアタック (opens new window)を防止するための文字列。この値はレスポンスで返されるIDトークンに含まれます。
prompt String 任意 consent。ユーザーが要求された権限をすべて付与済みであっても、強制的に同意画面を表示します。
max_age Number 任意 ユーザー認証後に許容される最大経過時間(秒)。OpenID Connect Core 1.0 (opens new window)の「Authentication Request」のセクションで定義されているmax_ageパラメータに相当します。
ui_locales String 任意 LINEログインで表示される画面の表示言語および文字種。RFC 5646(BCP 47) (opens new window)で定義されている言語タグを、優先順位が高い順に、スペース区切りのリストで設定します。OpenID Connect Core 1.0 (opens new window)の「Authentication Request」のセクションで定義されているui_localesパラメータに相当します。
bot_prompt String 任意 LINE公式アカウントを友だち追加するオプションをユーザーのログイン時に表示します。normalまたはaggressiveを指定します。詳しくは、「LINEログインしたときにLINE公式アカウントを友だち追加する(ボットリンク)」を参照してください。
ヒント
  • ウェブアプリにLINEログインボタンを追加する際は、「LINEログインボタン デザインガイドライン」に従ってください。
  • LINEログインボタンを表示せず、認可URLに直接リンクすることもできます。
  • ユーザーの認証情報は、ウェブアプリには通知されません。
LIFFブラウザ内での認可リクエストについて

LIFFブラウザ内でLINEログインによる認可リクエストを行う際の動作は保証されません。また、LIFFアプリを外部ブラウザで開く場合には、LINEログインによる認可リクエストではなく、liff.login()を利用してください。

# スコープ

scopeパラメータに指定できるスコープは以下のとおりです。複数のスコープを指定するには、URLエンコードされた空白文字(%20)で区切って指定します。

スコープ プロフィール情報 IDトークン
(ユーザーIDを含む)
IDトークン内の
表示名
IDトークン内の
プロフィール画像のURL
IDトークン内の
メールアドレス
profile - - - -
profile%20openid -
profile%20openid%20email ✓(※)
openid - - - -
openid%20email - - - ✓(※)

emailを指定してユーザーにメールアドレスの取得権限を要求するには、あらかじめメールアドレス取得権限を申請してください。

その他の権限を利用したい

# ユーザーがユーザー認証を行う

ユーザー認証はユーザーとLINEプラットフォームの間で直接行われます

LINEログインを組み込むウェブアプリ側で、認証の機能を実装する必要はありません。

認可URLにリダイレクトされたユーザーは、以下のいずれかの認証方法でログインできます。

認証方法 説明
自動ログイン ユーザーの操作なしでログイン。LINEログイン画面や確認画面は表示されません
メールアドレスログイン LINEログイン画面にメールアドレスとパスワードを入力してログイン
QRコードログイン LINEログイン画面に表示されたQRコードを、スマートフォン版LINEのQRコードリーダーでスキャンしてログイン
シングルサインオン(SSO)によるログイン 「次のアカウントでログイン」と表示された確認画面でログインボタンをクリックしてログイン
自動ログインとSSOではSSOの方が優先して動作します

自動ログインとSSOが両方利用できる環境ではSSOの方が優先して動作します。詳しくは、FAQの「LINEログインで「次のアカウントでログイン」という画面が表示されました。これは自動ログインに失敗していますか。」を参照してください。

ログイン通知について

ログインするとLINE公式アカウントからログイン通知が送信されます。ログイン通知についてはヘルプの「LINE公式アカウントからログイン通知が届いた (opens new window)」や「[◯◯で◯◯にログインしました]というトークが届いた (opens new window)」を参照してください。

ユーザーが選択した認証方法

ユーザーが選択した認証方法は、IDトークンで確認できます。IDトークンについては、「アクセストークンを取得する」の「レスポンス」を参照してください。

# 自動ログイン

ユーザーの操作なしでログインできます。LINEログイン画面や確認画面は表示されません。

自動ログインは、スマートフォン版LINEにログインしている状態で、以下のブラウザで認可URLにアクセスした場合に、自動的に行われます。

  • LINE内ブラウザ
  • 初めてLINEログインをする外部ブラウザ
自動ログインはPC版LINEでは動作しません

自動ログインが利用可能な環境について詳しくは、FAQの「自動ログインについて教えてください。」を参照してください。

# メールアドレスログイン、QRコードログイン

ユーザーは以下のいずれかの認証方法でログインできます。

  • メールアドレスログイン
  • QRコードログイン(PC版LINEでのみ表示されます)

LINEログイン画面

これらのログイン方法は、スマートフォン版LINEにログインしていない状態で、外部ブラウザで認可URLを初めて開いた場合に使用できます。

# シングルサインオン(SSO)によるログイン

ユーザーはログインボタンをクリックするだけでログインできます。

確認画面

SSOは、過去にLINEログインをしたことがある外部ブラウザで認可URLにアクセスした場合に使用できます。

SSOはCookieを利用している機能です

一度ウェブアプリからLINEログインをすると access.line.me というドメイン名でCookieが保存されます。以降もそのCookieが有効な限り、同じブラウザでログインする際にSSOの画面が表示されます。

# ユーザーが認可を行う

認可はユーザーとLINEプラットフォームの間で直接行われます

LINEログインを組み込むウェブアプリ側で、認可の機能を実装する必要はありません。

開発者がscopeパラメータで指定した情報へのアクセス権を、ユーザーが認可します。

なお、ユーザーは権限の付与に同意せずにウェブアプリにアクセスする場合があります。認可URLで指定した権限の付与を、ユーザーに拒否される可能性も考慮してウェブアプリを開発してください。

同意画面の例:

同意画面

同意画面が表示されない場合があります
  • scopeパラメータで指定した権限がprofileまたはopenidの場合は、ユーザーが既に権限を付与していると同意画面は表示されません。
  • 権限にemailが含まれる場合は、メールアドレスが変わらない限り、ユーザーが同意してから一定の期間は同意画面が表示されません。

# ウェブアプリで認可コードまたはエラーレスポンスを受け取る

ユーザーによる認証と認可のプロセスが終了すると、ユーザーはコールバックURLにリダイレクトされます。

ユーザーがアプリにアクセス権を付与したときは、認可コードが渡されます。 また、アクセス権の付与を拒否したときは、エラーレスポンスが渡されます。

# 認可コードを受け取る

ユーザーの認証と認可が完了すると、以下のクエリパラメータを含むコールバックURLにリダイレクトされます。

パラメータ タイプ 説明
code String アクセストークンの取得に使用される認可コード。有効期間は10分です。また、認可コードは1回のみ利用可能です。
state String クロスサイトリクエストフォージェリ (opens new window)防止用の固有な英数字の文字列。この値が認可URLに付与したstateパラメータの値と一致することを検証してください。
friendship_status_changed Boolean チャネルにリンクされているLINE公式アカウントとユーザーの関係が、ログイン時に変わった場合はtrueです。それ以外はfalseです。
注意:このパラメータは、ユーザーに認証と認可を要求するときにbot_promptクエリパラメータを指定し、かつ、ユーザーがログインしたときにLINE公式アカウントを友だち追加するオプションが表示された場合にのみ返されます。詳しくは、「LINEログインしたときにLINE公式アカウントを友だち追加する(ボットリンク)」を参照してください。

リダイレクト先URLの例:

https://example.com/callback?code=abcd1234&state=0987poi&friendship_status_changed=true

# エラーレスポンスを受け取る

アプリの要求する権限の付与をユーザーが拒否した場合、以下のクエリパラメータを含むコールバックURLにリダイレクトされます。

パラメータ タイプ 必須 説明
error String 必須 エラーコード
error_description String 任意 エラーの内容
state String 任意 認可URLに含めたstateパラメータ。この値で、どのプロセスが拒否されたか特定できます。

リダイレクト先URLの例:

https://example.com/callback?error=access_denied&error_description=The+resource+owner+denied+the+request.&state=0987poi

# ウェブアプリでアクセストークンを取得する

LINEプラットフォームから認可コードを受け取った際、同時に受け取ったstateパラメータと、認証と認可を要求したときに指定したstateパラメータが一致すれば、アクセストークンを取得できます。

リクエストの例:

curl -v -X POST https://api.line.me/oauth2/v2.1/token \
-H 'Content-Type: application/x-www-form-urlencoded' \
-d 'grant_type=authorization_code' \
-d 'code=xxx' \
-d 'redirect_uri=xxx' \
-d 'client_id=xxx' \
-d 'client_secret=xxx'

# レスポンス

LINEプラットフォームがアプリからのリクエストを検証し、以下の表に示すアクセストークンなどのデータをアプリに返します。

注意

LINEログイン機能に追加または変更があったときに、レスポンスやIDトークンのJSONオブジェクトの構造が変更される場合があります。この変更には、プロパティの追加、順序の変更、データの要素間の空白や改行の有無、データ長の変化が含まれます。将来、従来と異なる構造のペイロードを受信しても不具合が発生しないように、サーバーを実装してください。

プロパティ タイプ 説明
access_token String アクセストークン。有効期間は30日です。
expires_in Number アクセストークンの有効期限が切れるまでの秒数。
id_token String ユーザー情報を含むJSONウェブトークン(JWT) (opens new window)。このプロパティは、スコープにopenidを指定した場合にのみ返されます。詳しくは、「IDトークンからプロフィール情報とメールアドレスを取得する」を参照してください。
refresh_token String 新しいアクセストークンを取得するためのトークン。アクセストークンが発行されてから最長90日間有効です。
scope String ユーザーが付与する権限。ただし、emailスコープは権限が付与されていてもscopeプロパティの値としては返されません。
token_type String Bearer

以下は、JSONレスポンスの例です。

{
    "access_token": "bNl4YEFPI/hjFWhTqexp4MuEw5YPs...",
    "expires_in": 2592000,
    "id_token": "eyJhbGciOiJIUzI1NiJ9...",
    "refresh_token": "Aa1FdeggRhTnPNNpxr8p",
    "scope": "profile",
    "token_type": "Bearer"
}

詳しくは、『LINEログイン v2.1 APIリファレンス』の「アクセストークンを発行する」を参照してください。

# IDトークンからプロフィール情報を取得する

LINEプラットフォームは、OpenID Connect (opens new window)仕様に準拠するIDトークンを発行しているため、LINEプラットフォームからユーザーのプロフィール情報(ユーザーID・表示名・プロフィール画像・メールアドレス)を安全に取得できます。

所定の申請等を行った法人ユーザーは、LINE Profile+に登録された情報(氏名・性別・誕生日・電話番号・住所)も取得できます。詳しくは、「LINE Profile+に登録されている情報を取得する」を参照してください。

IDトークンに含まれる情報を使用する前に、以下のいずれかの方法でIDトークンを検証してください。

# LINEログインAPIのエンドポイントを利用する

アクセストークンと一緒に取得したIDトークンと、LINEログインのチャネルIDをエンドポイントに送信するだけで、IDトークンを検証し、ユーザーのプロフィール情報とメールアドレスを取得できます。

リクエストの例:

curl -v -X POST 'https://api.line.me/oauth2/v2.1/verify' \
 -d 'id_token=eyJraWQiOiIxNmUwNGQ0ZTU2NzgzYTc5MmRjYjQ2ODRkOD...&client_id=1234567890'

レスポンスの例:

{
    "iss": "https://access.line.me",
    "sub": "U1234567890abcdef1234567890abcdef",
    "aud": "1234567890",
    "exp": 1504169092,
    "iat": 1504263657,
    "nonce": "0987654asdf",
    "amr": [
        "pwd",
        "linesso",
        "lineqr"
    ],
    "name": "Taro Line",
    "picture": "https://sample_line.me/aBcdefg123456",
    "email": "taro.line@example.com"
}

詳しくは、『LINEログイン v2.1 APIリファレンス』の「IDトークンを検証する」を参照してください。

# IDトークンを検証するコードを書く

任意のJWTライブラリ (opens new window)を使ったり、独自のコードを書いたりして、IDトークンを検証し、ユーザーのプロフィール情報とメールアドレスを取得できます。

# IDトークン

IDトークンは、ユーザー情報を含むJSONウェブトークン(JWT)です。IDトークンは、ピリオド(.)で区切られたヘッダー、ペイロード、および署名から構成されます。各部分はbase64urlでエンコードされています。詳しくは、JWTの仕様 (opens new window)を参照してください。

# ヘッダー

以下はデコードしたヘッダー値の例です。LINEログインでは、HS256(HMAC using SHA-256)またはES256(ECDSA using P-256 and SHA-256)が使用されます。kidalgES256の場合のみ返されます。

algHS256の場合:

{
  "typ": "JWT",
  "alg": "HS256"
}

algES256の場合:

{
  "typ": "JWT",
  "alg": "ES256",
  "kid": "a2a459aec5b65fa..."
}
# ペイロード

ユーザー情報はペイロード部分に含まれます。

プロパティ タイプ 説明
iss String https://access.line.me。IDトークンの生成URLです。
sub String IDトークンの対象ユーザーID
aud String チャネルID
exp Number トークンの有効期限(UNIXタイム)
iat Number IDトークンの生成時間(UNIXタイム)
auth_time Number ユーザー認証時間(UNIXタイム)。認可リクエストにmax_ageの値を指定しなかった場合は含まれません。
nonce String 認可URLに指定したnonceの値。認可リクエストにnonceの値を指定しなかった場合は含まれません。
amr Stringの配列 ユーザーが使用した認証方法のリスト。以下のいずれかの値が含まれます。それぞれの認証方法については「ユーザーがユーザー認証を行う」を参照してください。
  • pwd:メールアドレスとパスワードによるログイン
  • lineautologin:LINEによる自動ログイン(LINE SDKを使用した場合も含む)
  • lineqr:QRコードによるログイン
  • linesso:シングルサインオンによるログイン
name String ユーザーの表示名。認可リクエストにprofileスコープを指定しなかった場合は含まれません。
picture String ユーザープロフィールの画像URL。認可リクエストにprofileスコープを指定しなかった場合は含まれません。
email String ユーザーのメールアドレス。認可リクエストにemailスコープを指定しなかった場合は含まれません。

以下はデコードしたペイロード部分の例です。

{
    "iss": "https://access.line.me",
    "sub": "U1234567890abcdef1234567890abcdef ",
    "aud": "1234567890",
    "exp": 1504169092,
    "iat": 1504263657,
    "nonce": "0987654asdf",
    "amr": ["pwd"],
    "name": "Taro Line",
    "picture": "https://sample_line.me/aBcdefg123456"
}
# 署名

署名を使ってレスポンスの有効性を検証します。Base64urlでエンコードされているヘッダー、ピリオド、およびペイロードを繋げた文字列を値とし、チャネルシークレットを鍵として、HMAC SHA-256アルゴリズムでハッシュ化した値をbase64urlでエンコードしたのが署名です。アプリのセキュリティを保つため、トークンの署名は必ず検証する必要があります。

# IDトークンをデコードして検証する

IDトークンをデコードして検証するには、任意のJWTライブラリを使うか、 以下の手順に従います

# JWTライブラリを使う

一般利用が可能なJWTライブラリ (opens new window)を使って、IDトークンをデコードして検証できます。以下はPython®向けライブラリを使ってIDトークンをデコードする例です。

import jwt

decoded_id_token = jwt.decode(id_token,
                              channel_secret,
                              audience=channel_id,
                              issuer='https://access.line.me',
                              algorithms=['HS256'])

# check nonce (Optional. But strongly recommended)
nonce = '_stored_in_session_'
expected_nonce = decoded_id_token.get('nonce')
if nonce != decoded_id_token.get('nonce'):
    raise RuntimeError('invalid nonce')
# IDトークンをデコードして検証する
  1. ピリオド(.)を区切り文字として、ヘッダー、ペイロード、および署名を分割します。
  2. 各部分をbase64urlでデコードします。
  3. Base64urlでエンコードされたヘッダー、ピリオド、およびペイロードを繋げた文字列を値とし、チャネルシークレットを鍵として、ハッシュ値を算出します。この値がデコードした署名と同じであるかどうかを検証します。
  4. issの値がhttps://access.line.meであり、IDトークンがLINEから送信されたものであることを確認します。
  5. audの値がお使いのチャネルIDと一致しており、IDトークンがお使いのチャネルを対象としていることを確認します。
  6. IDトークンの有効性を確認するには、expの値が検証時より後のUNIXタイムスタンプであることを確認します。
  7. リプレイアタックを防止するため、nonceの値が認可リクエストに指定したnonceの値と等しいことを確認します。nonceの値をユーザーセッションと共に保存します。このステップは省略できますが、nonceの値を含めることを強くお勧めします。

以下はPython 3を使った例です。

import base64
import hashlib
import hmac
import json
import time


def base64url_decode(target):
    rem = len(target) % 4
    if rem > 0:
        target += '=' * (4 - rem)

    return base64.urlsafe_b64decode(target)


def check_signature(key, target, signature):
    calc_signature = hmac.new(
        key.encode('utf-8'),
        target.encode('utf-8'),
        hashlib.sha256
    ).digest()

    return hmac.compare_digest(signature, calc_signature)


def decode_id_token(id_token, channel_id, channel_secret, nonce=None):
    # step 1
    header, payload, signature = id_token.split('.')

    # step 2
    header_decoded = base64url_decode(header)
    payload_decoded = base64url_decode(payload)
    signature_decoded = base64url_decode(signature)

    # step 3
    valid_signature = check_signature(channel_secret,
                                      header + '.' + payload,
                                      signature_decoded)
    if not valid_signature:
        raise RuntimeError('invalid signature')

    payload_json = json.loads(payload_decoded.decode('utf-8'))

    # step 4
    if payload_json.get('iss') != 'https://access.line.me':
        raise RuntimeError('invalid iss')

    # step 5
    if payload_json.get('aud') != channel_id:
        raise RuntimeError('invalid aud')

    # step 6
    if int(time.time()) > payload_json.get('exp'):
        raise RuntimeError('invalid exp')

    # step 7 (Optional. But strongly recommended)
    if nonce is not None:
        if payload_json.get('nonce') != nonce:
            raise RuntimeError('invalid nonce')

    return payload_json

# 次のステップ

取得したアクセストークンを使って、以下の操作を行えます。