Azure Active Directoryでid_tokenを安全に渡す方法B2C

Question

Azure Active Directory B2Cを使用する場合は、認証後に将来の要求を確認するためにid_tokenが取得されます。 id_tokenを返す方法はいくつかあります。 （documentation）query,form_postまたはfragmentです。

クエリを使用する場合は、id_tokenがクエリパラメータとして渡されます。これにセキュリティ上のリスクはありますか？もしそうなら、どうすればWebブラウザのクッキーにこれを直接注入できますか？

Answer 1

フォームの投稿はブラウザの履歴に保存されていないため、最も安全です。

しかし、クエリ文字列とフラグメントは履歴に格納されているため、誰かがそこから取得できます。

トークンがHTTPS経由で渡された場合、接続を途中で介入しようとする人は誰も見えません。

編集：アクセストークンではないので、IDトークンが期限切れになったときは本当に問題になりません。それを使って何かを呼び出すことはできません。保護する必要がある唯一の理由は、ユーザーに関する個人情報が含まれているためです。

Azure AD B2Cがトークンを投稿するリダイレクトURIは、http：ではなくhttps：である必要があります。