IDトークン
IDトークンは、トークンベースの認証において、ユーザープロファイル情報をキャッシュしてクライアントアプリケーションに提供するために使用されます。これにより、パフォーマンスとエクスペリエンスが向上します。ユーザー認証が成功すると、アプリケーションはIDトークンを受け取り、それを消費してユーザー情報を抽出します。この情報は、ユーザーエクスペリエンスのパーソナライズに使用できます。
たとえば、Auth0に登録し、ユーザーがGoogleでログインできるように構成した通常のWebアプリがあるとします。ユーザーがログインしたら、IDトークンを使って名前やメールアドレスなどの情報を収集し、その情報をウェルカムメールの自動生成・送信に使用できます。
IDトークンは、APIへの直接アクセスや認可の判断には決して使用しないでください。
IDトークンのセキュリティ
他のJWTと同様に、ID トークンを使用および保存するときは、トークン使用のベストプラクティスに従う必要があります。
APIを呼び出すアプリのセキュリティ確保には、さまざまな懸念が伴います。トークンその他の極秘データが、クロスサイトスクリプティング(XSS)の脆弱性を持たないこと、悪意のあるJavaScriptによって解読される可能性がないことを保証する必要があります。
IDトークンのライフタイム
IDトークンの有効期間は、デフォルトで36000秒間(10時間)有効です。セキュリティの懸念がある場合は、トークンの有効期間を短くすることができます。ただし、トークンの目的の1つが、ユーザー情報のキャッシュによるユーザーエクスペリエンスの向上であることを忘れないでください。詳細については、IDトークンのライフタイムを更新を参照してください。