1. 認可リクエスト（Authorization Request）の生成
   □ state パラメータ（CSRF対策）を生成してセッションに保存
   □ nonce パラメータ（リプレイ攻撃対策）を生成してセッションに保存
   □ scope=openid を含める（OIDCを有効にする）
   □ PKCE用の code_verifier / code_challenge を生成する（SPAやモバイルの場合）
   □ ユーザーをIdPの認可エンドポイントへリダイレクト

2. コールバックエンドポイントの処理
   □ state をセッションと照合する（不一致なら処理中断）
   □ 認可コードをトークンエンドポイントへ送り、ID + アクセストークンを取得
   □ IDトークンの署名をIdPの公開鍵で検証する
   □ iss（発行者）が期待するIdPのURLと一致するか確認する
   □ aud（対象受信者）が自アプリのclient_idと一致するか確認する
   □ exp（有効期限）が切れていないか確認する
   □ nonce をセッションと照合する
   □ sub をキーにユーザーをDBに登録 or 照合する

3. セッション確立
   □ アクセストークンはサーバーサイドにのみ保存する（クライアントに露出しない）
   □ IDトークンをそのままセッション管理のトークンとして使わない
   □ アプリ独自のセッションIDを発行してブラウザにHTTP-only Cookieで返す

必須エンドポイント：

- 認可エンドポイント      GET  /authorize
    ユーザーをIdPのログイン画面へ誘導し、認証後に認可コードを発行する

- トークンエンドポイント  POST /token
    クライアントが認可コードを送り、IDトークン・アクセストークンを受け取る

- JWKSエンドポイント      GET  /.well-known/jwks.json
    IDトークンの署名に使った公開鍵を公開する（クライアントが署名検証に使う）

- Discoveryエンドポイント GET  /.well-known/openid-configuration
    上記エンドポイントのURLや対応仕様をまとめたメタデータを返す

発行物：
- アクセストークン（JWT or opaque）
- IDトークン（JWT、署名必須）
- リフレッシュトークン（オプション）

{
  "issuer": "https://auth.example.com",
  "authorization_endpoint": "https://auth.example.com/authorize",
  "token_endpoint": "https://auth.example.com/token",
  "jwks_uri": "https://auth.example.com/.well-known/jwks.json",
  "response_types_supported": ["code"],
  "subject_types_supported": ["public"],
  "id_token_signing_alg_values_supported": ["RS256"],
  "scopes_supported": ["openid", "email", "profile"]
}

秘密鍵（IdPだけが持つ）→ IDトークンに署名
公開鍵（JWKSエンドポイントで公開）→ クライアントが署名を検証

{
  "sub": "1234567890",
  "email": "tanaka@example.com",
  "amr": ["pwd", "otp"],
  "acr": "urn:mace:incommon:iap:silver",
  "exp": 1700000000
}

①ユーザーが勤怠管理アプリにアクセス
  [田中さんのブラウザ] → GET https://kintai.company.internal/dashboard
  → 未ログインなので、アプリがIdPへリダイレクト

②認可リクエスト（勤怠管理アプリ → IdP）
  [ブラウザ] → GET https://auth.company.internal/authorize
    ?client_id=kintai-app          ← 勤怠管理アプリの識別子
    &redirect_uri=https://kintai.company.internal/callback
    &response_type=code
    &scope=openid email profile
    &state=abc123                  ← CSRF対策トークン（アプリがセッションに保存）
    &nonce=xyz789                  ← リプレイ攻撃対策（同上）

③IdPがログイン画面を表示 → 田中さんがID/パスワードを入力
  [IdPのログイン画面でのみ認証情報を入力 ← 各アプリには渡らない]

④IdPが認可コードを発行してリダイレクト
  [IdP] → 302 Redirect to:
  https://kintai.company.internal/callback
    ?code=AUTH_CODE_XXXXXX         ← 短命（数分）の使い捨てコード
    &state=abc123                  ← ②で送ったstateが返ってくる

⑤アプリがコードをトークンに交換（サーバー間通信）
  [勤怠管理アプリのサーバー] → POST https://auth.company.internal/token
    grant_type=authorization_code
    code=AUTH_CODE_XXXXXX
    redirect_uri=https://kintai.company.internal/callback
    client_id=kintai-app
    client_secret=SECRET_YYYY      ← このアプリだけが知るシークレット

  [IdP → アプリのサーバーへ返却]
  {
    "id_token": "eyJhbGci...",     ← 田中さんの情報を含むJWT
    "access_token": "at_ZZZZ",    ← IdPのAPIを呼ぶための鍵
    "token_type": "Bearer",
    "expires_in": 3600
  }

⑥アプリがIDトークンを検証・ユーザー特定
  IDトークンをデコードすると：
  {
    "sub": "user-001",             ← 田中さんの内部ID（DBキー）
    "email": "tanaka@company.com",
    "name": "田中太郎",
    "amr": ["pwd"],
    "iss": "https://auth.company.internal",  ← 発行者検証
    "aud": "kintai-app",                     ← 自アプリ宛か確認
    "exp": 1700003600,                       ← 有効期限確認
    "nonce": "xyz789"                        ← ②で保存したnonceと照合
  }
  → users テーブルで sub をキーに田中さんのレコードを照合 or 初回なら作成

⑦アプリが自前のセッションを発行
  [アプリのサーバー]
  - セッションID（ランダム文字列）を生成してセッションストアに保存
  - access_token はセッションストアのみに保存（ブラウザには返さない）
  - ブラウザへ HTTP-only Cookie でセッションIDだけを返す

  Set-Cookie: session_id=SID_QQQQ; HttpOnly; Secure; SameSite=Lax

⑧以降のリクエストはセッションIDで認証（OIDCは関与しない）
  GET /dashboard → Cookie: session_id=SID_QQQQ → セッションストアで照合

田中さんがすでにIdPにログイン済みの状態で経費申請アプリにアクセスすると、

IdPは「このブラウザはセッションがある」と判断し、
②〜③のログイン画面をスキップして④の認可コード発行に直接進む

→ 田中さんは再度パスワードを入力せずにログインできる（SSO）

前提：myapp.com がGitHub連携機能を持っている

1. 攻撃者が自分のGitHubアカウントで myapp.com の「GitHub連携」を開始
2. リダイレクト途中でブラウザを止め、コールバックURL（code=xxx&state=yyy）を保存
3. 被害者にそのURLをクリックさせる（メール/SNSなどで誘導）
4. myapp.com が state を検証していなければ、
   被害者のアカウントに攻撃者のGitHubアカウントが連結される
5. 次回「GitHubでログイン」を使えば、攻撃者が被害者のアカウントに侵入できる

□ state パラメータを認可リクエスト時にランダム生成し、セッションに保存する
□ コールバック時に、受け取った state とセッションの state が一致するか検証する
□ 一致しない場合は処理を中断する

正規のコールバックURL：
https://myapp.com/callback

攻撃者が細工したリクエスト：
https://idp.example.com/authorize?
  client_id=myapp
  &redirect_uri=https://evil.com/callback  ← 書き換え
  &response_type=code

IdP の redirect_uri 検証が前方一致だけであれば：
  https://myapp.com.evil.com/callback
  または
  https://myapp.com/callback/../../../evil.com

このURLへ認可コードが送られる
→ 攻撃者がコードを入手してトークンと交換できる

IdPとして実装する場合：
  □ redirect_uri を登録制にし、完全一致（exact match）で検証する
  □ ワイルドカードや前方一致での検証は使わない

クライアントアプリとして実装する場合：
  □ redirect_uri にパラメータを動的に含めない
  □ 自アプリのドメイン外にリダイレクトする処理を作らない

正規アプリ：com.myapp://callback
悪意あるアプリ（同じカスタムスキームを登録）：com.myapp://callback

認可コードを含むコールバックURLを悪意あるアプリが横取り
→ トークンに交換して正規ユーザーとして動作

□ PKCE（Proof Key for Code Exchange）を必ず使う
  - code_verifier（ランダム文字列）を生成する
  - その SHA-256 ハッシュ（code_challenge）を認可リクエストに含める
  - コードをトークンに交換するとき code_verifier を送る
  - IdP側で code_challenge と照合する
  → コードを横取りしても code_verifier がないとトークンに交換できない

❌ アンチパターン：
Cookie: id_token=eyJhbGci...  ← IDトークンをCookieに保存して認証トークン代わりにする

問題：
- IDトークンは有効期限が短い（通常1時間以下）
- クライアントへのIDトークン露出がないように設計されている
- セッション無効化（強制ログアウト）ができない

□ 認証後は自アプリのセッション（セッションID or 独自JWT）を発行する
□ IDトークンはユーザー特定にのみ使い、セッションとは分離する
□ アクセストークンはサーバーサイドのみで保持し、クライアントに返さない
□ ログアウト時はアクセストークンをリボークし、セッションを削除する
□ リフレッシュトークンはHTTP-only Cookieに保存する（JSから読めないように）