ウェブアプリにLINEログインを組み込む

ログインのフロー

ウェブアプリ向けのLINEログインの処理（ウェブログイン）は、OAuth 2.0の認可コード付与のフローとOpenID Connectプロトコルに基づいています。アプリでLINEログインを利用するには、アプリからサーバーへのリクエスト送信と、LINEプラットフォームからアプリへのデータ受信を実行できる必要があります。ウェブログインのフローの概要は以下のとおりです。

ウェブログインの処理に伴うステップは、以下のとおりです。

1. 必要なクエリパラメータを使用して、アプリからLINEログインの認可URLにユーザーを誘導します。
2. LINEのログインダイアログがブラウザで開き、ユーザーはログインして認証を受けます。LINEプラットフォームでユーザーの認証情報が検証された後、ユーザーはアプリから要求される権限を付与することに同意する必要もあります。
3. LINEプラットフォームからアプリに、redirect_uriを介してユーザーをリダイレクトします。このとき、認可コードとstateを含むクエリ文字列もアプリに送信されます。
4. アプリは、認可コードを使ってエンドポイントURL https://api.line.me/oauth2/v2.1/tokenにアクセストークンを要求します。
5. LINEプラットフォームがアプリからのリクエストを検証し、アクセストークンをアプリに返します。

発行したアクセストークンを使って、Social APIを呼び出すことができます。

始める前に

LINEログインをアプリに組み込む作業を始める前に、以下の作業が完了していることを確認します。

• アプリで使用するチャネルを作成する。

チャネルを設定する

リダイレクト先を設定する

ユーザーがログインした後のリダイレクト先を指定するには、コンソールの［アプリ設定］ページでコールバックURLを設定します。

注：複数のコールバックURLを指定できます。

メールアドレス取得権限を申請する

LINEログインを使ってログインするユーザーに、メールアドレスの取得を要求できます。この機能を有効にするには、あらかじめコンソールから申請する必要があります。

1. ［チャネル基本設定］ページの［OpenID Connect］セクションで、［メールアドレス］の隣の［申請］をクリックします。

   

2. 申請条件に同意して、メールアドレスの取得と利用についてユーザーに提示する文面のスクリーンショットをアップロードします。

申請が受理されると［メールアドレス］の下に「申請済み」と表示されます。

認可を要求する

ユーザーを認証してアプリに権限を付与するよう要求するには、以下の認可URLに必須のクエリパラメータを付けてユーザーをリダイレクトします。ユーザーをリダイレクトするには、LINEログインボタンか直接リンクを使います。

https://access.line.me/oauth2/v2.1/authorize

必須のクエリパラメータをURLに含める必要があります。

スコープ

scopeパラメータに指定できるスコープは以下のとおりです。URLエンコードされた空白文字（%20）で区切って、複数のスコープを指定できます。少なくとも1つのスコープを指定する必要があります。

• profile：ユーザーのプロフィール情報を取得する権限です。
• openid：IDトークンを取得する権限です。詳しくは、「IDトークン」を参照してください。
• email：ユーザーのメールアドレスを取得する権限です。openidを同時に指定する必要があります。詳しくは、「IDトークン」を参照してください。

LINE公式アカウントとユーザーの友だち関係を取得するにはprofileのスコープを持つアクセストークンが必要です。

認可リクエストの例

以下はクエリパラメータを含む認可URLの例です。

https://access.line.me/oauth2/v2.1/authorize?response_type=code&client_id=1234567890&redirect_uri=https%3A%2F%2Fexample.com%2Fauth&state=12345abcde&scope=openid%20profile&nonce=09876xyz

認証と認可のプロセス

ユーザーが認可URLにリダイレクトされると、LINEプラットフォームにより自動的にユーザーセッションが確認され、ユーザーのログイン状態が判別されます。

ユーザーがLINEにログインしていない場合

ユーザーは認証のためLINEログインダイアログにリダイレクトされます。ユーザーはLINEにログインする必要があります（このとき、特定の環境を使用しているユーザーは、ログイン操作を省略できる場合があります。詳しくはFAQの「自動ログインについて教えてください。」を参照してください）。

ユーザーセッションが存在し、LINEにログイン済みである場合

LINEログインダイアログの代わりに確認画面が表示されます。

ユーザーがログインすると、同意画面が表示され、scopeパラメータで指定した権限の付与を求められます。scopeパラメータで指定した権限がprofileまたはopenidの場合は、ユーザーが既に権限を付与していると同意画面は表示されません。権限にemailが含まれる場合は、メールアドレスが変わらない限り、ユーザーが同意してから一定の期間は同意画面が表示されません。

認可コードを受け取る

ユーザーの認証と認可が完了すると、HTTPステータスコード302と以下のクエリパラメータを含むコールバックURLが返されます。

以下は、レスポンスの例です。

HTTP/1.1 302 Found
Location : https://client.example.org/cb?code=abcd1234&state=0987poi&friendship_status_changed=true

エラーレスポンス

アプリの要求する権限の付与をユーザーが拒否した場合、以下のクエリパラメータを含むコールバックURLが返されます。

以下は、エラーレスポンスの例です。

https://example.com/callback?error=access_denied&error_description=The+resource+owner+denied+the+request.&state=0987poi

アプリの要求する権限の付与をユーザーが拒否した場合、アプリ側でエラーを適切に処理する必要があります。

アクセストークンを発行する

アクセストークンを発行するには、認可コードを指定してHTTP POSTリクエストを実行します。発行したアクセストークンで、APIを呼び出すことができます。アクセストークンは、以下のエンドポイントで発行されます。

リクエスト

POST https://api.line.me/oauth2/v2.1/token

リクエストボディ

リクエストボディの情報はform-urlencodedフォーマットで記述します。

リクエストの例

以下はアクセストークンを発行するためのHTTP POSTリクエストの例です。

curl -X POST https://api.line.me/oauth2/v2.1/token \
-H 'Content-Type: application/x-www-form-urlencoded' \
-d 'grant_type=authorization_code' \
-d 'code=xxx' \
-d 'redirect_uri=xxx' \
-d 'client_id=xxx' \
-d 'client_secret=xxx'

レスポンス

LINEプラットフォームがアプリからのリクエストを検証し、以下の表に示すアクセストークンなどのデータをアプリに返します。

注：LINEログイン機能に追加または変更があったときに、レスポンスやIDトークンのJSONオブジェクトの構造が変更される場合があります。この変更には、プロパティの追加、順序の変更、データの要素間の空白や改行の有無、データ長の変化が含まれます。将来、従来と異なる構造のペイロードを受信しても不具合が発生しないように、サーバーを実装してください。

以下は、JSONレスポンスの例です。

{
    "access_token": "bNl4YEFPI/hjFWhTqexp4MuEw5YPs...",
    "expires_in": 2592000,
    "id_token": "eyJhbGciOiJIUzI1NiJ9...",
    "refresh_token": "Aa1FdeggRhTnPNNpxr8p",
    "scope": "profile",
    "token_type": "Bearer"
}

IDトークンからプロフィール情報とメールアドレスを取得する

LINEプラットフォームは、OpenID Connect仕様に準拠するIDトークンを発行しているため、LINEプラットフォームからユーザーのプロフィール情報とメールアドレスを安全に取得できます。IDトークンに含まれる情報を使用する前に、以下のいずれかの方法でIDトークンを検証してください。

• Social APIのエンドポイントを利用する
• IDトークンを検証するコードを書く

Social APIのエンドポイントを利用する

アクセストークンと一緒に取得したIDトークンをエンドポイントに送信するだけで、IDトークンを検証し、ユーザーのプロフィール情報とメールアドレスを取得できます。

詳しくは、『Social APIリファレンス』の「IDトークンを検証する」を参照してください。

IDトークンを検証するコードを書く

任意のJWTライブラリを使ったり、独自のコードを書いたりして、IDトークンを検証し、ユーザーのプロフィール情報とメールアドレスを取得できます。

IDトークン

IDトークンは、ユーザー情報を含むJSONウェブトークン（JWT）です。IDトークンは、ピリオド（.）で区切られたヘッダー、ペイロード、および署名から構成されます。各部分はbase64urlでエンコードされています。詳しくは、JWTの仕様を参照してください。

ヘッダー

以下はデコードしたヘッダー値の例です。この例では、エンコードされたオブジェクトでHMAC SHA-256アルゴリズムが使用されていることを、ヘッダー部分で宣言しています。LINEログインではHMAC SHA-256のみを使用します。

{
  "typ": "JWT",
  "alg": "HS256"
}

ペイロード

ユーザー情報はペイロード部分に含まれます。

以下はデコードしたペイロード部分の例です。

{
    "iss": "https://access.line.me", 
    "sub": "U1234567890abcdef1234567890abcdef ",
    "aud": "1234567890", 
    "exp": 1504169092, 
    "iat": 1504263657, 
    "nonce": "0987654asdf", 
    "amr": ["pwd"],
    "name": "Taro Line", 
    "picture": "https://sample_line.me/aBcdefg123456"
}

署名

署名を使ってレスポンスの有効性を検証します。Base64urlでエンコードされているヘッダー、ピリオド、およびペイロードを繋げた文字列を値とし、チャネルシークレットを鍵として、HMAC SHA-256アルゴリズムでハッシュ化した値をbase64urlでエンコードしたのが署名です。アプリのセキュリティを保つため、トークンの署名は必ず検証する必要があります。

IDトークンをデコードして検証する

IDトークンをデコードして検証するには、任意のJWTライブラリを使うか、 以下の手順に従います。

JWTライブラリを使う

一般利用が可能なJWTライブラリを使って、IDトークンをデコードして検証できます。以下はPython®向けライブラリを使ってIDトークンをデコードする例です。

import jwt

decoded_id_token = jwt.decode(id_token,
                              channel_secret,
                              audience=channel_id,
                              issuer='https://access.line.me',
                              algorithms=['HS256'])

# check nonce (Optional. But strongly recommended)
nonce = '_stored_in_session_'
expected_nonce = decoded_id_token.get('nonce')
if nonce != decoded_id_token.get('nonce'):
    raise RuntimeError('invalid nonce')

IDトークンをデコードして検証する

1. ピリオド（.）を区切り文字として、ヘッダー、ペイロード、および署名を分割します。
2. 各部分をbase64urlでデコードします。
3. Base64urlでエンコードされたヘッダー、ピリオド、およびペイロードを繋げた文字列を値とし、チャネルシークレットを鍵として、ハッシュ値を算出します。この値がデコードした署名と同じであるかどうかを検証します。
4. issの値がhttps://access.line.meであり、IDトークンがLINEから送信されたものであることを確認します。
5. audの値がお使いのチャネルIDと一致しており、IDトークンがお使いのチャネルを対象としていることを確認します。
6. IDトークンの有効性を確認するには、expの値が検証時より後のUNIXタイムスタンプであることを確認します。
7. リプレイアタックを防止するため、nonceの値が認可リクエストに指定したnonceの値と等しいことを確認します。nonceの値をユーザーセッションと共に保存します。このステップは省略できますが、nonceの値を含めることを強くお勧めします。

以下はPython 3を使った例です。

import base64
import hashlib
import hmac
import json
import time


def base64url_decode(target):
    rem = len(target) % 4
    if rem > 0:
        target += '=' * (4 - rem)

    return base64.urlsafe_b64decode(target)


def check_signature(key, target, signature):
    calc_signature = hmac.new(
        key.encode('utf-8'),
        target.encode('utf-8'),
        hashlib.sha256
    ).digest()

    return hmac.compare_digest(signature, calc_signature)


def decode_id_token(id_token, channel_id, channel_secret, nonce=None):
    # step 1
    header, payload, signature = id_token.split('.')

    # step 2
    header_decoded = base64url_decode(header)
    payload_decoded = base64url_decode(payload)
    signature_decoded = base64url_decode(signature)

    # step 3
    valid_signature = check_signature(channel_secret,
                                      header + '.' + payload,
                                      signature_decoded)
    if not valid_signature:
        raise RuntimeError('invalid signature')

    payload_json = json.loads(payload_decoded.decode('utf-8'))

    # step 4
    if payload_json.get('iss') != 'https://access.line.me':
        raise RuntimeError('invalid iss')

    # step 5
    if payload_json.get('aud') != channel_id:
        raise RuntimeError('invalid aud')

    # step 6
    if int(time.time()) > payload_json.get('exp'):
        raise RuntimeError('invalid exp')

    # step 7 (Optional. But strongly recommended)
    if nonce is not None:
        if payload_json.get('nonce') != nonce:
            raise RuntimeError('invalid nonce')

    return payload_json

次のステップ

発行したアクセストークンを使ってSocial APIを呼び出し、ユーザーのログアウト、アクセストークンの管理、およびユーザープロフィール情報の取得を実行できます。詳しくは、以下のページを参照してください。

• ユーザーをログアウトする
• アクセストークンを管理する
• ユーザープロフィールを取得する
• APIリファレンス