OIDC トークンを明示的にモデル化する理由は何ですか?
OpenID Connect を使用すると、最新のサインインがスムーズになりますが、同時に、複数のオブジェクトのトークンを指すという古典的な会議の問題も生じます。製品では、画面上のプロファイル テキストに ID トークンを使用し、API 呼び出しにアクセス トークンを使用する場合がありますが、どちらも 3 部構成の JWT のように見えるという理由だけで、これらは交換可能ではありません。問題は、法務、セキュリティ、製品が同じ部屋にいるローンチや更新のレビューであり、本当の問題は、テストログインが電話で機能したかどうかではなく、どのデータがどこで許可されるかということです。デバッガー スタイルのデコードは、プログラム マネージャーが部屋を安定させるのに役立ちます。発行者、対象者、有効期間を指定でき、UI が読み取るトークンとサーバーが検証するトークンを指定できます。マーケティング担当者や運用リーダーにとっては、デモでは表示されたフィールドが実際のトークン パスには表示されないなど、本番稼働後のサプライズが少なくなることが利点です。無料の OIDC スタイルの JWT ビューを使用すると、他のシークレットと同じ注意を払って、目に見えないものを判読できるようになります。利点は語彙の共有であるため、チームは議論からチェックリストに移行します。対象者を修正し、スコープを修正し、リダイレクトを修正し、環境を調整します。 1 時間で JWT の 5 つの意味を理解するのに飽きたら、フィールドを開いて、デバッグしているオブジェクトに名前を付け、ランダムなアプリ層ではなく、適切なコンソール設定を変更します。それは人々にとってもカレンダーにとっても穏やかな作業であり、チーム間の立ち上げが即興ではなく計画されていると感じる方法です。ビューを使用して、見つけたことを文書化し、気分ではなく具体的なフィールド名を使用してチケットをファイルします。 OIDC JWT デバッガーをセキュリティ プロセス全体の代替としてではなく、簡単な説明のステップとして扱うと、混乱することなく速度が向上します。話が明確になると、日は短くなり、リーダーは霧の堤防ではなく計画を聞きます。顧客が待っている場合、明確であることは望ましいことではありません。それはスケジュールそのものです。
OIDC スタイルの JWT をデバッグする方法
- フローで区別できる場合は、リソース呼び出しに実際に使用するトークンと、SPA がユーザー プロファイル用に読み取るトークンを別々にキャプチャします。
- アプリの登録に対して aud、azp、および iss を確認し、BFF パターンが追加のロールを挿入している場合は、scp またはカスタム クレームを調べます。
- セッションの有効期間と更新を調整します。「JWT が壊れている」と言われる場合でも、多くの場合、製品のバグは暗号ではなく経験によるものです。