OIDC として Azure AD B2C を利用して、SPA(Single Page Application)で認可コードフローを利用する場合のフローについて。
とくに state, PKCE, nonce の目的が理解できていなかったため、それについて。
事前にアプリ/SPA を Azure AD B2C へ登録し、クライアント ID を発番する必要がある。 
以降、<code>d6c711cf-0622-41f9-8af5-c2a18968ef80</code>が発番されたものとして記載。 
登録時にリダイレクト URI/リダイレクションエンドポイントを指定する必要がある。 
以降、<code>https://rp/callback</code>を指定したものとして記載。
<iframe id="zenn-embedded__b514b7809a3a3" src="https://embed.zenn.studio/mermaid#zenn-embedded__b514b7809a3a3" data-content="sequenceDiagram%0A%20%20autonumber%0A%0A%20%20participant%20rp%20as%20%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6(RP)%0A%20%20participant%20op%20as%20%E8%AA%8D%E5%8F%AF%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC(OP)%0A%0A%20%20rp-%3E%3Erp%3A%20state%E3%82%92%E3%83%A9%E3%83%B3%E3%83%80%E3%83%A0%E5%80%A4%E3%81%A7%E7%94%9F%E6%88%90%0A%20%20note%20right%20of%20rp%3A%20state%3DeyJpZCI6Im...%3Cbr%3ERP%E3%81%A7%E4%B8%80%E8%87%B4%E6%A4%9C%E8%A8%BC%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%81%A7CSRF%E3%82%92%E9%98%B2%E6%AD%A2%0A%0A%20%20rp-%3E%3Erp%3A%20code_verifier%E3%82%92%E3%83%A9%E3%83%B3%E3%83%80%E3%83%A0%E5%80%A4%E3%81%A7%E7%94%9F%E6%88%90%3Cbr%3E%E3%81%9D%E3%81%93%E3%81%8B%E3%82%89code_challenge%E3%82%92%E7%AE%97%E5%87%BA%0A%20%20note%20right%20of%20rp%3A%20code_verifier%3Dptel7mvbj0M1t8nuMjAcw7NcqEmY2OIawzjY2fQ1Tic%3Cbr%3Ecode_challenge%3Dtk-OBLod8JQ8VlMmzGajH6JNWKnDRdondMnsKGdACm0%3Cbr%3EPKCE%E5%AE%9F%E7%8F%BE%E3%81%AB%E5%88%A9%E7%94%A8%3Cbr%3EOP%E3%81%A7%E4%B8%80%E8%87%B4%E6%A4%9C%E8%A8%BC%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%81%A7%E8%AA%8D%E5%8F%AF%E3%82%B3%E3%83%BC%E3%83%89%E6%A8%AA%E5%8F%96%E3%82%8A%E6%94%BB%E6%92%83%E3%82%92%E9%98%B2%E6%AD%A2%0A%0A%20%20rp-%3E%3Erp%3A%20nonce%E3%82%92%E3%83%A9%E3%83%B3%E3%83%80%E3%83%A0%E5%80%A4%E3%81%A7%E7%94%9F%E6%88%90%0A%20%20note%20right%20of%20rp%3A%20nonce%3D1e2b0f84-efa4-4294-b94b-0e6eb18a22c1%3Cbr%3ERP%E3%81%A7%E4%B8%80%E8%87%B4%E6%A4%9C%E8%A8%BC%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%81%A7%E3%83%AA%E3%83%97%E3%83%AC%E3%82%A4%E3%82%A2%E3%82%BF%E3%83%83%E3%82%AF%E3%82%92%E9%98%B2%E6%AD%A2%0A%0A%20%20rp-%3E%3Eop%3A%20%E8%AA%8D%E5%8F%AF%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%0A%20%20note%20over%20op%2C%20rp%3A%20GET%20https%3A%2F%2Fop%2Fauthorize%3Cbr%3E%3Fclient_id%3Dd6c711cf-0622-41f9-8af5-c2a18968ef80%3Cbr%3E%26scope%3Dopenid%20profile%20offline_access%20...%3Cbr%3E%26redirect_uri%3Dhttps%3A%2F%2Frp%2Fcallback%3Cbr%3E%26response_mode%3Dfragment%3Cbr%3E%26response_type%3Dcode%3Cbr%3E%26code_challenge%3Dtk-OBLod8JQ8VlMmzGajH6JNWKnDRdondMnsKGdACm0%3Cbr%3E%26code_challenge_method%3DS256%3Cbr%3E%26nonce%3D1e2b0f84-efa4-4294-b94b-0e6eb18a22c1%3Cbr%3E%26state%3DeyJpZCI6ImM3Ym...%3Cbr%3E%26...%0A%20%20note%20right%20of%20rp%3A%20%E7%94%9F%E6%88%90%E3%81%97%E3%81%9F%20code_challenge%2C%20nonce%2C%20state%20%E3%82%92%E6%8C%87%E5%AE%9A%0A%0A%20%20op-%3E%3Eop%3A%20%E5%8F%97%E4%BF%A1%E3%81%97%E3%81%9Fcode_challege%E3%82%92%E4%BF%9D%E5%AD%98%0A%0A%20%20op--%3E%3Erp%3A%20%E8%AA%8D%E8%A8%BC%E3%83%BB%E8%AA%8D%E5%8F%AF%E7%94%BB%E9%9D%A2%EF%BC%88%E7%94%BB%E9%9D%A2%E8%A1%A8%E7%A4%BA%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AEHTML%E7%AD%89%E3%82%92%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%EF%BC%89%0A%0A%20%20rp-%3E%3Eop%3A%20%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AFSPA%E3%81%8C%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%B8%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%82%92%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B%E3%81%AA%E3%82%89ID%E3%81%A8%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%92%E5%85%A5%E5%8A%9B%0A%0A%20%20op-%3E%3Eop%3A%20%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E8%AA%8D%E8%A8%BC%0A%0A%20%20op-%3E%3Eop%3A%20%E8%AA%8D%E5%8F%AF%E3%82%B3%E3%83%BC%E3%83%89%E7%94%9F%E6%88%90%0A%0A%20%20op-%3E%3Eop%3A%20%E4%BF%9D%E5%AD%98%E3%81%97%E3%81%9Fcode_challege%E3%81%A8%3Cbr%3E%E7%94%9F%E6%88%90%E3%81%97%E3%81%9F%E8%AA%8D%E5%8F%AF%E3%82%B3%E3%83%BC%E3%83%89%E3%82%92%E7%B4%90%E4%BB%98%E3%81%91%E3%81%A6%E4%BF%9D%E5%AD%98%0A%0A%20%20op--%3E%3Erp%3A%20%E8%AA%8D%E5%8F%AF%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%0A%20%20note%20over%20op%2C%20rp%3A%20%E8%AA%8D%E5%8F%AF%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%81%A7%E6%8C%87%E5%AE%9A%E3%81%97%E3%81%9F%E3%83%AA%E3%83%80%E3%82%A4%E3%83%AC%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%A8%E3%83%B3%E3%83%89%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88%E3%81%B8%E3%83%AA%E3%83%80%E3%82%A4%E3%83%AC%E3%82%AF%E3%83%88%3Cbr%3E302%20Location%3A%20https%3A%2F%2Frp%2Fredirect%3Cbr%3E%EF%BC%83state%3DeyJpZCI6Im...%3Cbr%3E%26code%3DeyJraWQiOi...%0A%20%20note%20left%20of%20op%3A%20%E8%AA%8D%E5%8F%AF%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%81%A7%E5%8F%97%E4%BF%A1%E3%81%97%E3%81%9Fstate%E3%82%92%E3%81%9D%E3%81%AE%E3%81%BE%E3%81%BEstate%E3%81%A7%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%0A%20%20note%20left%20of%20op%3A%20%E7%94%9F%E6%88%90%E3%81%97%E3%81%9F%E8%AA%8D%E5%8F%AF%E3%82%B3%E3%83%BC%E3%83%89%E3%82%92code%E3%81%A7%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%0A%0A%20%20rp--%3E%3Erp%3A%20state%E4%B8%80%E8%87%B4%E3%82%92%E6%A4%9C%E8%A8%BC%0A%0A%20%20rp-%3E%3Eop%3A%20%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%0A%20%20note%20over%20op%2C%20rp%3A%20POST%20https%3A%2F%2Fop%2Ftoken%3Cbr%3Eapplication%2Fx-www-form-urlencoded%EF%BC%9Bcharset%3Dutf-8%3Cbr%3E%E3%83%95%E3%82%A9%E3%83%BC%E3%83%A0%E3%83%87%E3%83%BC%E3%82%BF%3Cbr%3Egrant_type%3A%20authorization_code%3Cbr%3Eredirect_uri%3A%20https%3A%2F%2Frp%2Fcallback%3Cbr%3Ecode%3A%20eyJraWQiOi...%3Cbr%3Ecode_verifier%3A%20ptel7mvbj0M1t8nuMjAcw7NcqEmY2OIawzjY2fQ1Tic%3Cbr%3E...%0A%20%20note%20right%20of%20rp%3A%20%E8%AA%8D%E5%8F%AF%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%E3%81%A7%E5%8F%96%E5%BE%97%E3%81%97%E3%81%9Fcode%E3%82%92%E6%8C%87%E5%AE%9A%0A%20%20note%20right%20of%20rp%3A%20%E8%AA%8D%E5%8F%AF%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%81%A7%E9%80%81%E4%BF%A1%E3%81%97%E3%81%9Fcode_challenge%E3%81%AE%E5%85%83%E3%81%A8%E3%81%AA%E3%81%A3%E3%81%9Fcode_verifier%E3%82%92%E6%8C%87%E5%AE%9A%0A%0A%20%20op--%3E%3Eop%3A%20%E5%8F%97%E4%BF%A1%E3%81%97%E3%81%9Fcode_verifier%E3%81%8B%E3%82%89code_challenge%E3%82%92%E7%94%9F%E6%88%90%3Cbr%3E%E4%BF%9D%E5%AD%98%E3%81%97%E3%81%9Fcode_challenge%E3%81%A8%E4%B8%80%E8%87%B4%E3%82%92%E6%A4%9C%E8%A8%BC%0A%0A%20%20op--%3E%3Erp%3A%20%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3%E3%83%AC%E3%82%B9%E3%83%9D%E3%83%B3%E3%82%B9%0A%20%20note%20over%20op%2C%20rp%3A%20%7B%22access_token%22%3A%22eyJ0...%22%2C%20%22id_token%22%3A%22eyJ0...%22%2C%20%22refresh_token%22%3A%20%22eyJr...%22%2C%20...%7D%3Cbr%3Eaccess_token%E3%81%A8id_token%E3%82%92%E3%83%87%E3%82%B3%E3%83%BC%E3%83%89%E3%81%99%E3%82%8B%E3%81%A8nonce%3A%201e2b0f84-efa4-4294-b94b-0e6eb18a22c1%E3%81%8C%E5%90%AB%E3%81%BE%E3%82%8C%E3%82%8B%0A%0A%20%20rp--%3E%3Erp%3A%20nonce%E4%B8%80%E8%87%B4%E3%82%92%E6%A4%9C%E8%A8%BC" frameborder="0" scrolling="no" loading="lazy"></iframe>2000文字超過で表示できないようなので、エクスポートした画像。
<img src="https://storage.googleapis.com/zenn-user-upload/b665f075c18b-20220821.png" alt loading="lazy" class="md-img">

OIDC 認可コードフロー x SPA の処理フローと state, PKCE, nonce

Discussion