IDトークンの取得
IDトークンを取得するには、ユーザーの認証時にIDトークンを要求する必要があります。Auth0を使用すると、以下を使用してアプリで簡単にユーザーを認証できます。
Quickstart:認証を実装する最も簡単な方法で、ユニバーサルログイン、Lockウィジェット、およびAuth0の言語・フレームワーク別SDKの使い方を説明しています。LockのドキュメントとAuth0.jsのドキュメントには、認証後にIDトークンを取得する具体的な方法が記載されています。
Authentication API:ご自身で独自に実装したい場合は、APIを直接呼び出すこともできます。最初にどのフローを使用するかを把握してから、適切なフローのチュートリアルに従ってください。
IDトークンの内容の制御
ユーザーの認証時にトークンを要求する際、scopeパラメーターに特定のOpenID Connectスコープを含めることで、アプリケーションで使用するIDトークンに含める認証済みユーザーに関する情報を制御することができます。
また、自分で定義・制御し、トークンに追加するカスタムクレームも、ルールを使用して作成することができます。他のJWTと同様に、その内容が信頼できると仮定する前に、IDトークンを検証する必要があります。
IDトークンの更新
IDトークンの有効期間は、デフォルトで36000秒間(10時間)有効です。セキュリティの懸念がある場合は、トークンの有効期間を短くすることができます。ただし、トークンの目的の1つが、ユーザー情報のキャッシュによるパフォーマンスの向上であることを忘れないでください。
IDトークンの期限が切れた後で、IDトークンを更新したい場合があります。IDトークンを更新するには、Auth0を使ってユーザーを再認証するか、リフレッシュトークンを使用します。