SPAでユーザーセッションを維持する


再利用の自動検出

- 正当なクライアントにリフレッシュトークン1 があり、それが漏洩したか、悪意のあるクライアントに盗まれました。
- 正当なクライアントがリフレッシュトークン1 を使用して、新しいリフレッシュトークンとアクセストークンのペアを取得します。
- Auth0がリフレッシュトークン2とアクセストークン2 を返します。
- 悪意のあるクライアントがリフレッシュトークン1 を使用してアクセストークンを取得しようとします。Auth0はリフレッシュトークン1が再利用されたことを認識し、即座にリフレッシュトークン2 を含む関連のリフレッシュトークンを無効にします。
- Auth0が悪意のあるクライアントにアクセス拒否の応答を返します。
- アクセストークン2 が失効したため、正当なクライアントがリフレッシュトークン2 を使用して新しいトークンのペアを要求します。Auth0が正当なクライアントにアクセス拒否の応答を返します。
- 再認証が必要になります。
ferrtなど)をログに記録します。これをAuth0のログストリーミング機能と併せて利用すれば、疑わしいアクティビティの検知には特に役立ちます。
別の例として、悪意のあるクライアントがリフレッシュトークン1 を盗んで使用し、正当なクライアントがリフレッシュトークン1 を使用する前に、アクセストークンを取得したとします。この場合、以下の図が示すように、正当なクライアントがリフレッシュトークン1 を使用すると即座にリフレッシュトークン2 (および後続して発行されたすべてのリフレッシュトークン)が自動的に取り消されるため、悪意のあるクライアントがアクセス権を悪用できる期間が短縮されます。

SDKサポート
- Auth0 SPA SDK
- Flutter (Web)
- Swift (iOS) SDK
- Android SDK
- Flutter
- React Native SDK
- WPF / Winforms
- Xamarin