メインコンテンツへスキップ
ユーザープロファイル属性を含むIDトークンはアプリに消費されるもので、通常はユーザーインターフェイスの表示に使用されます。Auth0はすべてのIDトークンをJSONウェブトークン(JWT)の形式で発行します。 検査内容が1つでも失敗すると、トークンが無効であると見なされ、その要求は拒否されなければなりません。
  1. JWTを検証します
  2. 追加の標準クレームを確認します。標準のJWT検証を行ったのであれば、すでにJWTのペイロードをデコードし、その標準クレームを確認したはずです。IDトークンで検証するべき追加のクレームには以下が含まれます。
    • トークンオーディエンスaud, string):トークンのオーディエンス値はクライアントID フィールドのアプリケーションの設定で定義したアプリケーションのクライアントIDと一致しなければなりません。
    • Noncenonce, string):リプレイ攻撃を防ぐため、トークン要求でnonceを渡すことが推奨されます(暗黙フローでは必須)。トークンにあるnonce値は、要求で送信されたオリジナルのnonceと完全に一致しなければなりません。詳細は「リプレイ攻撃を防ぐ」を参照してください。

もっと詳しく

I