IDトークンの検証
ユーザープロファイル属性を含むIDトークンはアプリに消費されるもので、通常はユーザーインターフェイスの表示に使用されます。Auth0はすべてのIDトークンをJSONウェブトークン(JWT)の形式で発行します。
検査内容が1つでも失敗すると、トークンが無効であると見なされ、その要求は拒否されなければなりません。
追加の標準クレームを確認します。標準のJWT検証を行ったのであれば、すでにJWTのペイロードをデコードし、その標準クレームを確認したはずです。IDトークンで検証するべき追加のクレームには以下が含まれます。
トークンオーディエンス(
aud, string):トークンのオーディエンス値はクライアントIDフィールドのアプリケーションの設定で定義したアプリケーションのクライアントIDと一致しなければなりません。Nonce(
nonce, string):リプレイ攻撃を防ぐため、トークン要求でnonceを渡すことが推奨されます(暗黙フローでは必須)。トークンにあるnonce値は、要求で送信されたオリジナルのnonceと完全に一致しなければなりません。詳細は「リプレイ攻撃を防ぐ」を参照してください。