前置き
Auth0を利用して、ブラウザベースのWebアプリケーションの認証を実装しようとしていますが、
以下の点について疑問を感じています。ご助言いただければ幸いです。
質問1:セッション管理は自らで行うという認識であっていますか。
【参考】
参考にしたドキュメントでは、Auth0認証からのコールバックリクエスト時に
セッションIDを発行し、cookieに登録させていると思います。
以下のようなセッション管理は自らで実装するということでしょうか。
- 発行したセッションIDとそれに紐づくユーザー情報をDBで管理する。
- Webアプリケーションからのアクセス時、セッションIDを検証する。
- またセッションIDの更新なども行う。
質問2:SPAの場合、IDトークンの有効期限時にはアプリが中断するのでしょうか。
質問1の状況では、私の認識があっている場合、アクセスを行っている限り、セッションIDを
更新し続けるため、アプリケーションを利用し続けることができると思います。
【参考】
0. Auth0 Docs Authenticate Single-Page Apps With Cookies
0. Auth0 Docs Implicit Flow with Form Post
参考1のフローの場合、ログイン時のみForm PostされたIDトークンをブラウザのcookieへ
登録させることができると思います。
参考1「Invalid or missing cookies」に記載の通り、cookieのIDトークンが有効期限切れ
の場合、認証画面へリダイレクトさせると思います。つまり毎回アプリケーションが中断して、
ホーム画面へリダイレクトされてしまうのでしょうか。
あなたの回答
tips
プレビュー