- JWTを検証します。
-
追加の標準クレームを確認します。標準のJWT検証を行ったのであれば、すでにJWTのペイロードをデコードし、その標準クレームを確認したはずです。IDトークンで検証するべき追加のクレームには以下が含まれます。
- トークンオーディエンス (
aud, string):トークンのオーディエンス値はクライアントID フィールドのアプリケーションの設定で定義したアプリケーションのクライアントIDと一致しなければなりません。 - Nonce (
nonce, string):リプレイ攻撃を防ぐため、トークン要求でnonceを渡すことが推奨されます(暗黙フローでは必須)。トークンにあるnonce値は、要求で送信されたオリジナルのnonceと完全に一致しなければなりません。詳細は「リプレイ攻撃を防ぐ」を参照してください。
- トークンオーディエンス (
IDトークンの検証
IDトークンの検証方法について説明します。
ユーザープロファイル属性を含むIDトークンはアプリに消費されるもので、通常はユーザーインターフェイスの表示に使用されます。Auth0はすべてのIDトークンをJSONウェブトークン(JWT)の形式で発行します。
検査内容が1つでも失敗すると、トークンが無効であると見なされ、その要求は拒否されなければなりません。