現在仕様策定中の OpenID Connect RP-Initiated Logout 1.0 とは

こんばんは ritouです。むかーしむかし、あるところにOIDCのセッション管理に関する3つの仕様がありました。 (2015年の記事) ritou.hatenablog.com (Session Managementについてのさらに古い 2013年の記事) ritou.hatenablog.com いわゆるソーシャルログイ…

2020-05-17

「ID TokenをAuthorization Headerにつけて送る」というお作法について思うところ

OAuth OIDC IDToken SPA Session

こんばんは、ritouです。 ID Tokenがやりとりされている背景ちょっと前にこんな話がありました。 blog.ssrf.in この id_token が JWT になっていますので、これを Authorization: Bearer $ID_TOKEN というヘッダにして oauth2-proxy で保護されているアプリ…

2019-12-01

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方

JWT Session SPA AdventCalendar

おはようございます、ritou です。 qiita.com これの初日です。なんの話か皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！リンク貼るのは省略…