Amazon Cognito が更新トークンのローテーションに対応
Amazon Cognito は、ユーザープールクライアントの OAuth 2.0 更新トークンローテーションのサポートを発表しました。更新トークンは、ユーザーが再度サインインしなくてもアプリケーションが新しいアクセストークンを取得できるようにする、長期間有効なトークンです。更新トークンのローテーション機能により、既存の更新トークンを定期的に新しい更新トークンに自動的に置き換えるようにユーザープールクライアントを構成し、アプリケーションのセキュリティ体制を強化できるようになりました。これまでは有効期間の長いトークンを使用する必要がありましたが、更新トークンのローテーション機能により、侵害された更新トークンが使用される可能性のある期間を短くすることができます。さらに、更新トークンはバックグラウンドで自動的にローテーションされるため、ユーザーは再認証しなくても中断なくアクセスを維持できます。
これまで、更新トークンのローテーション機能がない場合、お客様は再認証によるユーザーの手間を最小限に抑えるために存続期間の長いトークンを使用するか、トークンの侵害によるリスクからの保護を強化するために存続期間の短いトークンを使用するかを選択する必要がありました。今後は、更新トークンをローテーションすることにより、お客様はユーザーの更新トークンを自動的に更新し、アプリケーションのセキュリティ体制を強化しながら、シームレスなユーザーエクスペリエンスを実現できます。例えば、コラボレーションアプリケーションでは、ユーザーが 30 日間のセッションでログインしたまま、新しいアクセストークンと ID トークンを交換するたびに更新トークンを数時間ごとに更新し、1 つのトークンの公開期間を制限することができます。
この機能は、AWS GovCloud (米国) リージョンを含む Cognito が利用可能な AWS リージョンで Essentials ティアまたは Plus ティアを使用する Amazon Cognito のお客様にご利用いただけます。詳細については、Cognito デベロッパーガイドの「Refresh tokens」をご覧ください。