(Cognito)OpenID JSON Web Key (JWK) の自動ローテーション対応について

0

AWSより2022 年12月15 日より、OpenID トークン署名キーの自動ローテーションを開始するので、2022年12月15日までに対応するようにとのメールを頂きました。 これは、(参考URL)にある「拡張認証フロー」を実装すれば対応済みと考えてよろしいのでしょうか。

(参考URL) https://docs.aws.amazon.com/ja_jp/cognito/latest/developerguide/authentication-flow.html

질문됨 일 년 전543회 조회
3개 답변
1
수락된 답변

「拡張認証フロー」を実装すれば対応済みと考えて問題ないです。 理由を記載します。

今回ローテーションの対象となっている「署名キー」というのは基本 (Classic) 認証フローの中でGetOpenIdTokenを使用した際に得られる「OpenIdToken」が正当なものであるかを検証するために使用するものです。この署名キーはJWKS URIというURIを含むURLから取得されます。 基本 (Classic) 認証フローの場合は、ここで取得した「署名キー」を使って「OpenIdToken」を検証する処理(プログラム)を自分で実装する場合があります。この部分の実装で例えば、「署名キー」がローテーションされないことを前提としてハードコーディングしている場合などに今回の変更の影響を受ける形となります。

対して、拡張 (簡略化) 認証フローの場合は、GetCredentialsForIdentityというリクエストがGetOpenIdTokenを含む処理を行うため、「OpenIdToken」を検証する処理を実装する必要はない認識です。そのため拡張 (簡略化) 認証フローであれば問題ないと言うことができます。

profile picture
Kikuchi
답변함 일 년 전
1

ご回答ありがとうございます。 GetCredentialsForIdentity()で、OpenIdTokenの検証処理を行っているので自身で検証処理を記述する必要がないという事ですね。

ご認識の通りです。よろしくお願いします。

profile picture
Kikuchi
답변함 일 년 전
0

ご回答ありがとうございます。 GetCredentialsForIdentity()で、OpenIdTokenの検証処理を行っているので自身で検証処理を記述する必要がないという事ですね。

답변함 일 년 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠