「ID TokenをAuthorization Headerにつけて送る」というお作法について思うところ

こんばんは、ritouです。 ID Tokenがやりとりされている背景ちょっと前にこんな話がありました。 blog.ssrf.in この id_token が JWT になっていますので、これを Authorization: Bearer $ID_TOKEN というヘッダにして oauth2-proxy で保護されているアプリ…

2020-03-31

JSON Web Signatureを簡単かつ安全に使うためのkid/typパラメータの使い方

JWT JWS Security IDToken Authentication

こんにちはこんにちは、ritou です。現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。今回はそのために重要になる、各種パラメータの扱いに注目します。…

2020-01-08

そのIDTokenの正体はセッショントークン？それともアサーション？

IDToken OIDC IDaaS Auth0 Firebase

おはようございます、ritouです。今年も Firebase Authentication や Auth0 とか沢山使われると思いますが、去年からよく聞かれる件をざっくりと書いておきます。 ID Tokenってセッショントークンとして使っていいんですよね？例えばこちらの記事を見てみ…