Xsolla-logo

概要

このセクションでは、ログイン を操作するための API 呼び出しについて説明します。リクエストを送信する前に、パブリッシャー アカウント でログイン プロジェクトを セットアップ してください。

IP addresses

The full list of IP addresses that login.xsolla.com may use:

  • 34.94.0.85
  • 34.94.14.95
  • 34.94.25.33
  • 34.94.115.185
  • 34.94.154.26
  • 34.94.173.132
  • 34.102.48.30
  • 35.235.99.248
  • 35.236.32.131
  • 35.236.35.100
  • 35.236.117.164

API定義をダウンロードする

API定義を2つの形式でダウンロードできます:

用語集

アドミンページでは、次のログインプロジェクトタイプにアクセスできます:

  • 標準ログインプロジェクト
  • シャドウログインプロジェクト

詳細については、クロスプラットフォームアカウント機能を参照してください。

レート制限

Are the restrictions applied by Xsolla API on the frequency of access by a user within a defined timeframe.

標準ログインプロジェクト

メインアカウントを保存するために使用されるログインプロジェクトです。

シャドウログインプロジェクト

プラットフォームアカウントを保存するために使用されるログインプロジェクトです。

メインアカウント

標準ログインプロジェクトで作成され、プラットフォームアカウントにリンクされているアカウントタイプです。メインアカウントは、異なるプラットフォームでプレーヤーを識 別するために使用されます。

プラットフォームアカウント

シャドウログインプロジェクトで作成され、確定したパブリッシングプラットフォームに接続されるアカウントタイプです。プラットフォームアカウントは、他のプラットフォー ムアカウントとリンクすることはできません。また、メインアカウントからアカウントのリンクを解除することもできません。

パブリッシングプラットフォーム

ゲームの配布に使用されるゲームプラットフォームです(Steam、PlayStation、Xboxなど)。

認証

Login APIは、以下のトークンタイプをサポートしています:

Authentication schemes

認証スキームによって、APIコールがクライアント側かサーバー側かを判断できます:

  • Client-side — are called without authentication or with the Authorization header: Bearer <user_JWT> header, where <user_JWT> — is the user token.
  • Server-side API calls for implementing the user flow — are called with the header: X-SERVER-AUTHORIZATION: <server_JWT>, where <server_JWT> — is the server token.

ユーザートークンの取得

トークンを取得するには、次のいずれかのリクエストを送信します:

JWT認証後、ユーザーはクエリパラメータにトークンを含むコールバックURLにリダイレクトされます:<Callback URL>?token=<User token (JWT)>

OAuth 2.0プロトコルベースの認証後、JWTを生成するリクエストをエクソーラログインサーバーに送信して、受信したcodeパラメータをユーザートークン(access_token)と交換します。

サーバートークンの取得

サーバートークンを取得するには:

  1. サーバーOAuth 2.0クライアントをセットアップする
  2. サーバーJWTを生成する

サーバーOAuth 2.0クライアントをセットアップする

  1. パブリッシャーアカウントでプロジェクトを開き、ログインセクションに移動します。
  2. ログインプロジェクトのパネルで構成をクリックします。
  3. セキュリティブロックに移動し、OAuth 2.0セクションを選択します。
  4. Click Add OAuth 2.0 Client.
  5. **サーバー (server-to-server connection)**ボックスのチェックを入れます。
  6. トークンの有効期間を指定します。
  7. 接続をクリックします。
  8. クライアントIDと秘密キーをコピーして保存します。

サーバーJWTを生成

アプリケーションのバックエンドで、JWT APIを生成するコールを使用してサーバーJWTを取得するメソッドを実装します。リクエストには次のパラメータが含まれている必要があります。

  • grant_type is the type of getting JWT, pass the client_credentials value.
  • client_secret is the secret key that is received when you set up the server OAuth 2.0 client.
  • client_id is the client ID received when you set up the server OAuth 2.0 client.

レート制限

To prevent Xsolla system overloads and protect against sudden spikes in incoming traffic, Xsolla limits the number of requests received by the Xsolla API within a specified period of time. If the limit is exceeded, the Xsolla API returns an HTTP response with the 429 status code.

Rate limits vary by method, IP-address, authentication scheme, and other factors.

Rate limits for server-side methods are applied to methods with server-side authentication — methods that are called with the X-SERVER-AUTHORIZATION: <server_JWT> header, where <server_JWT> is the server token.

Rate limits for client-side methods are applied to methods without authentication or with client-side authentication — methods that are called with the Authorization: Bearer <user_JWT> header, where <user_JWT> is the user token.

Example of a method with server-side authentication: Example of a 
method with server-side 
authentication Example of a method with client-side authentication: Example of a method with server-side 
authentication

Rate limits for client-side methods do not change and are necessary to prevent brute-force attacks. The maximum request rate for server-side methods is higher than for client-side methods. You can refer to the recommendations on how to manage rate limits in the documentation.

Note In certain cases, it is possible to adjust the rate limits by request. To request the rate limits adjustment, contact your Customer Success Manager or email csm@xsolla.com.

JWT構造

すべてのトークンにはJWTフォーマットがあり、ペイロードに明確な情報が含まれています。

ユーザーJWT

ユーザーJWTは、認証または登録の結果として受け取ったトークンです。トークンのペイロードには、ユーザーと認証のコールに関する情報が含まれています。

OAuth 2.0プロトコルでユーザートークンを取得するには、OAuth 2.0クライアントが必要です。ユーザートークンは、Authorization: Bearer <JWT>ヘッダで渡されます。

主な要求

トークンには、認証またはメールアドレス確認後の主な要求が含まれます。これらの要求の有無は、ユーザーデータベースや認証コールに依存しません。

 
クレーム タイプ 必須 説明
exp Unixタイムスタンプ はい トークンの有効期限を設定する日時。デフォルトの有効期限は24時間です。有効期限は、ログインプロジェクトごとに変更できます。
iss 文字列 はい トークンに署名したサービス:https://login.xsolla.com
iat Unixタイムスタンプ はい トークンを発行した日時。
sub 文字列(UUID) はい エクソーラログインサーバー側に書き込まれたユーザーID。
groups 配列 はい

ユーザーが所属しているグループのリスト。各グループは以下のフォーマットで書かれます:

  • id — グループID
  • name — グループ名
  • is_default — グループがデフォルトであるかどうかを示します(trueまたはfalseの値)。

デフォルトグループは1つしか存在できません。このグループには、異なるグループに分散される前のすべてのユーザーが初期状態で含まれています。

xsolla_login_project_id 文字列(UUID) はい ログインプロジェクトID。
type 文字列

認証オプション:

  • xsolla_login — ユーザー名/メールアドレスとパスワードによるログイン。
  • social — ソーシャルログイン
  • email — 電子メールで受信したワンタイムコードによるパスワードレスログイン。
  • phone — SMS経由で受信したワンタイムコードによるパスワードレスログイン。
  • firebase — ユーザーデータストレージがFirebaseの場合、ユーザー名/メールアドレスとパスワードでログインします。
  • playfab — ユーザーデータストレージが PlayFabの場合、ユーザー名/メールアドレスとパスワードでログインします。
  • proxy — ユーザーデータストレージがproxyの場合、ユーザー名/メールアドレスとパスワードでログインします。
  • device — デバイスIDでログインします。
  • server_custom_id — カスタムIDを使用してログインします。

デフォルトグループは1つしか存在できません。このグループには、異なるグループに分散される前のすべてのユーザーが初期状態で含まれています。

avatar 文字列 ユーザーのアバターURL。
username 文字列 ユーザー名。
publisher_id integer ログインプロジェクトを所有するマーチャントのID。
email 文字列 ユーザーのメールアドレス。
payload 文字列 認証時にペイロードパラメータで渡される追加情報。
promo_email_agreement ブール型

次のいずれかの値になります:

  • true ユーザーがニュースレターの受信に同意した場合。
  • false それ以外の場合。
デフォルトはtrueの値になります。

ログインウィジェットの登録フォームに機能を追加するには:

  • Widget 2.0を使用している場合は、アカウントマネージャーまでお問い合わせください。
  • 旧バージョンのウィジェットを使用する場合は、初期化コードpromo_email_agreement値を持つfieldsパラメータを追加してください。

connection_information 文字列 ユーザーが生年月日を確認したかどうかを表示します。確認はoknameサービスを通じて行われます。

PlayFabストレージ

PlayFabストレージを使用する場合、認証後にトークンに含まれる要求。

クレーム タイプ 必須 説明
external_account_id 文字列 はい ユーザーPlayFab ID。
session_ticket 文字列 はい

PlayFab APIへの認証リクエストまたはリクエストの間に受け取ったSessionTicketパラメータです。

OAuth 2.0プロトコルを経由でユーザーを認証し、playfab値をscopeパラメータに渡す場合、トークンには要求が含まれます。

entity_token 文字列 はい EntityToken.EntityTokenパラメータ。
entity_type 文字列 はい EntityToken.Entity.Typeパラメータ。 title_player_accountの値のみを持つことができます。
entity_id 文字列 はい EntityToken.Entity.Idパラメータ。

カスタムストレージ

カスタムストレージを使用する場合、認証後にトークンに含まれる要求。

クレーム タイプ 必須 説明
provider 文字列 はい 認証に使用されるソーシャルネットワークの名前。ユーザーがユーザー名とパスワード経由で認証する場合、要求にはxsolla値が含まれます。
external_account_id 文字列 サーバー側のユーザーID。
partner_data Data of any type returned by your server in the response body during authentication. To enable the transmission of this claim, contact your Customer Success Manager or email to csm@xsolla.com
social_access_token Access token of the social network through which the user was authenticated. To enable the transmission of this claim, contact your Customer Success Manager or email to csm@xsolla.com.

ソーシャル認証

ソーシャルネットワーク経由の認証後、トークンに含まれる要求。これらの要求の存在は、ユーザーデータベースに依存しません。

クレーム タイプ 必須 説明
provider 文字列 はい 認証に使用されるソーシャルネットワークの名前。
id 文字列 はい ソーシャルネットワークにおけるユーザーID。
is_cross_auth ブール型 サイレント認証のリクエストが進行中であることを示します。
social_access_token 文字列 認証に使用するソーシャルネットワークアカウントのaccess_tokenパラメータ。この機能をセットアップするには、アカウントマネージャーにお問い合わせください。
picture 文字列(URL) ソーシャルネットワークにおけるユーザープロフィール画像へのリンク。
birthday 日付(RFC3339 ソーシャルネットワークにおけるユーザーの誕生日。
gender 文字列 ソーシャルネットワークにおけるユーザー性別。
name 文字列 ソーシャルネットワークにおけるユーザーニックネーム。

OAuth2.0プロトコル経由の認証

OAuth 2.0認証後のトークンに含まれる要求。

クレーム タイプ 必須 説明
jti 文字列 はい 一意のトークンID。

電話番号経由の認証

電話番号経由の認証後、トークンに含まれる要求。

クレーム タイプ 必須 説明
phone_number 文字列 はい 認証に使用されるユーザーの電話番号。電話番号は、国番号、市外局番、回線番号からなる区切りのない形式です。

サーバーJWT

サーバートークンは、X-SERVER-AUTHORIZATIONヘッダーで渡されます。

トークンのペイロードには、OAuth 2.0クライアントが所有するリソースに関する情報が含まれています。トークンは、これらのリソースに対するサーバーベースの認証によるコールにアクセスできます。

クレーム タイプ 必須 説明
xsolla_login_project_id 文字列(UUID) はい OAuth 2.0クライアントを所有するログインプロジェクトのID。
resources 配列 はい

OAuth 2.0クライアントが所有するリソースのリスト。可能なリソースのタイプ:

  • publisher_id — ログインプロジェクトを所有するマーチャントのリソース
  • publisher_project_idアドミンページでのプロジェクトのリソース。

各グループは以下のフォーマットで書かれます:

  • name — リソースタイプ
  • value — リソースID

jti 文字列 はい 一意のトークンID。

JWT検証

To validate the JWT, use the following Login API calls:

通知

秘密鍵は他人に教えないでください。漏洩した場合は、更新してください。

エラー

| Error Code | Description | Recommendation | |---------------------------|---------------------------------------------------

---------------------------------------------------------------------------|:---

エラー

エラー応答の場合、エクソーラログインサーバーは以下のフィールドを持つJSONオブジェクトを返します:

フィールド タイプ 説明
code 文字列 エクソーラログインサーバーのエラーコード。
説明 文字列 エラーの説明。テキストは常に英語です。値は将来変更される可能性があるため、エラーの場合はこのテキストを使用しないでください。
{
  "error": {
    "code": "000-000",
    "description": "description"
  }
}

| Error Code | Description | Recommendation | |---------------------------|---------------------------------------------------


---------------------------------------------------------------------------|:---


---------------------------------------------------------------------------:| | 002-016 | Invalid JWT. | The user should try to log in again. | | 002-027 | Parameter is invalid. | Make sure all request parameters are correct. | | 002-028 | Parameter was not passed. | Make sure all required parameters are provided. | | 002-040 | This user is banned. | The user should contact the game support team. | | 002-043 | This phone number cannot receive SMS. Use a different number. | The user should try another phone number that can receive SMS. | | 002-050 | User MFA settings have not changed. | The error occurs when trying to enable two-factor authentication if it's already enabled, or disable it if it's already disabled. | | 002-056 | Invalid phone number. Verify the number or try another one. | The user should verify the phone number or enter a different one. | | 002-057 | Too many login attempts. | The user should try again later. If you believe this error should not occur, please contact the integrator team in any messenger. | | 002-058 | You exceeded login attempts limit. To unblock your account, follow the link in the email that we sent or reset your password. | The user should use the link in the email to unblock their account or reset the password. | | 002-060 | User younger than required age. | Inform the user of the age restrictions. | | 003-001 | Incorrect email address/username or password. | The user should verify the entered information and try again. | | 003-002 | User is not signed up. | The user should sign up in the game to continue. | | 003-003 | User with this username already exists. Try another username. | The user should try a different username. | | 003-004 | User with this email address already exists. Try another email address. | The user should use a different email address. | | 003-005 | Email address does not exist. Try another email address. | The user should try a different email address. | | 003-007 | Account not activated. Please confirm email address. | The user should confirm their email address to activate the account. If they haven't received a confirmation email, they should check the spam folder. | | 003-008 | Changing email address not allowed. | Changing the email address is not allowed. | | 003-009 | User search request wrong. | The search failed for technical reasons, please try again later. | | 003-010 | Changing birth date is unavailable. | Changing the birth date is not allowed. | | 003-011 | Email address not confirmed. Try another email address or confirm this one. | The user should confirm the email address or use another one that has not been previously used during registration. | | 003-012 | User with specified phone number already exists. | The user should confirm the phone number or use another one that has not been previously used during registration. | | 003-019 | Login with this project ID not found. | Check the existence of the authentication variant with the passed ID. | | 003-020 | Call unavailable for this Login project. | Check the authorization option settings in your Publisher Account. | | 003-021 | Logging in via username/password not allowed. | The user should contact game support. | | 003-022 | Incorrect project configuration. | Verify the authorization option settings in your Publisher Account. | | 003-023 | Signing up via username/password not allowed. | Registration is not allowed for this authorization option. The user should contact game support. | | 003-030 | Link has expired. Please perform password recovery again. | The password reset link has expired or is incorrect. The user should attempt to reset the password again. | | 003-049 | Too many attempts to use confirmation code. Try again later. | The user should try again later. | | 007-001 | Login via phone is currently unavailable in your country. Please try a different login method. | The user should use an alternative login method. | | 008-001 | Passwordless login URL not configured. | Add the correct login URL in the authorization option settings in your Publisher Account (section User database > Storage > Custom storage). | | 008-002 | User verification URL not configured. | Add the correct user verification URL in the authorization option settings in your Publisher Account (section User database > Storage > Custom storage). | | 008-003 | New user URL not configured. | Add the correct URL in the authorization option settings in your Publisher Account (section User database > Storage > Custom storage). | | 008-004 | Password reset URL not configured. | Add the correct password reset URL in the authorization option settings in your Publisher Account (section User database > Storage > Custom storage). | | 008-005 | PlayFab Title ID invalid. | Ensure the correct Title ID is specified in the authorization option settings in your Publisher Account (section User database > Storage). | | 008-006 | PlayFab API key invalid. | Ensure the PlayFab API key is valid. | | 008-008 | Invalid response from your API. It must contain user ID as "accountID" response body parameter. | Ensure the server returns the accountID parameter in the response body. | | 008-009 | Invalid URL in Custom storage settings. | Verify the URLs specified in the Custom storage settings in the authorization option in your Publisher Account (section User database > Storage > Custom storage). | | 008-011 | Set new password page URL not configured. | Ensure that the callback URL for password reset is specified in the authorization option settings in your Publisher Account (section Password settings). | | 008-013 | Consent page URL not configured or invalid. | Ensure that a link to the user agreement is specified in the authorization option settings in your Publisher Account (section Legal Terms

Policies and Agreements). | | 008-014 | Okta integration not completed. | Contact the integration team through any messenger. | | 008-015 | SAML integration not completed. | Contact the integration team through any messenger. | | 008-016 | Firebase API key not set. | Add the API key to the settings in your Publisher Account (section Legal Terms > Policies and Agreements). | | 010-004 | Service temporarily unavailable. Try again later. | The user should try again later. | | 010-005 | Allowable number of requests exceeded. Try again later. | The user should try again later. | | 010-006 | If this social profile is unlinked, no authentication methods will be available. | The user should add another authentication method before unlinking the social network. | | 010-007 | Incorrect CAPTCHA input. Try again. | The user should complete the CAPTCHA again. | | 010-010 | Invalid confirmation code. | The user should verify the code and try again. | | 010-014 | Your code is expired. Return to the login page and log in again. | The user should log in again from the login page. | | 010-015 | Something went wrong during authentication with this social network. Try again later. | The user should try again later. | | 010-016 | This social account is already linked to another user. | The user should use a different social account. If they believe this is an error, they should contact the integration team through any messenger. | | 010-017 | Client authentication failed. Some request parameters are missing in request or have invalid values. | Verify the correctness of the request parameters being sent. | | 010-019 | Client authentication failed. Client with this client_id value does not exist. | Ensure that a client with the provided client_id exists. | | 010-020 | Client authentication failed. Parameter scope is invalid or malformed. | Ensure that the provided scope parameter is correct. Refer to the instructions for detailed setup information. | | 010-021 | Client authentication failed. Parameter response_type is invalid or malformed. You should pass value of code parameter to response_type. | Ensure that the value of the response_type parameter is set to "code". | | 010-022 | Client authentication failed. Parameter state is missing or its value has less than 8 characters. | Ensure that the state parameter is present and consists of at least 8 characters. | | 010-023 | Client authentication failed. Authorization code, authorization grant types, or refresh token are invalid or expired. Also this error is returned when the redirect_uri given in authorization grant type does not match the URI provided in access token request. | Ensure that the authorization code is valid and not expired, and that the redirect_uri parameter contains an authorized URL. Refer to the instructions for detailed setup information. | | 010-026 | The resource owner or authorization server denied the request. | Ensure that you have sufficient permissions to access the resource. | | 010-030 | Cross social network is not enabled for this Login. | Ensure that cross-authentication is enabled for the authorization option. Refer to the instructions for detailed setup information. | | 010-031 | Social provider already exists. | The error occurs when attempting to connect a social network that is already enabled. | | 010-032 | Social network is not enabled for this Login. You can enable it in your Xsolla Publisher Account > Login Project > Social connections. | Ensure that the social network is enabled and configured in the authorization option settings in your Publisher Account (section Authorization via Social Networks). | | 010-033 | This call is temporary unavailable. | The user should try again later. | | 010-035 | Dependency service is unavailable | The user should try again later. | | 010-045 | Account with this social provider email address already exists. | The user should use a different social account for registration. | | 030-024 | Password recovery is not allowed. | The user should contact the game support team. | | 040-001 | Email address must be 254 characters or shorter. | The user should enter an email address containing no more than 254 characters. | | 040-002 | Username of the email address is invalid. Try another email address. | The user should enter a valid email address. | | 040-003 | Local part of the email address is too long. | The user should enter a different email address. | | 040-004 | Email address domain is invalid. Try another email address. | The user should contact Xsolla support. | | 040-005 | Email address should contain one @ character only. (E.g., username@example.com) | The user should enter an email with only one @ character. | | 040-006, 040-007, 040-008 | Email address domain is invalid. Try another email address. | The user should contact Xsolla support. | | 040-009 | Email address domain doesn’t exist. Try another email address. | The user should enter an email with an existing domain. | | 040-010 | Email address domain is not allowed. Try another email address. | The user should contact Xsolla support. | | 010-018 | Email address is invalid. Try another email address. | The user should enter a different email address. | | 300-003 | Allowable number of requests exceeded. Try again later. | The user should try again later. | | 300-005 | Failed to resend code. Try again later. | The user should try again later. | | 300-006 | Incorrect confirmation code. Check the code that you received and try again. | The user should verify and re- enter the confirmation code. | | 300-008 | You've exceeded the maximum number of attempts. Use the new code sent to your email or phone. | The user should use the new code sent to their email or phone. | | 003-007 | User account not confirmed. | The user should confirm their email address to activate the account. If they haven't received a confirmation email, they should check the spam folder. | | 003-025 | Error occurred while getting OAuth 2.0 access token. | The user should try a different authentication method. | | 003-040 | Unauthorized user. | The user should log in again. | | 003-033 | Mismatch project type. | Ensure that shadow authentication is used for the authorization option. | | 2002-0001 | Duplicated attributes. | Make sure that the attribute being created has not been previously added to the user. |