認証・認可（Cognito / OIDC / JWT）の実装ガイド

CognitoのCUSTOM_AUTHチャレンジ（Define/Create/VerifyのLambdaトリガー）でOTP・パスワードレス・LINE認証を実装し、カードPINはPBKDF2-HMAC（高反復・CSPRNGソルト・定数時間比較）で安全に保管する実装ガイド。確認後フックやログのマスキングまで実コードで解説。

AWS CognitoのJWT(RS256)をバックエンドで正しく検証する実装ガイド。JWKS取得とkidマッチング、RS256署名検証、iss/aud/exp/token_useの検証、JWKSキャッシュと定期更新、API Gatewayオーソライザーとの二層検証、alg=noneやtoken_use未検証などの落とし穴を実コード（Python/TypeScript）で解説します。

AWS Cognito User Poolsで企業SSO（Azure AD/Okta/Google）とパスワードレス認証（パスキー/OTP）を実装する2026年最新ガイド。SAML/OIDC連携、USER_AUTH選択式認証、カスタム認証フローのLambdaトリガー、マルチテナント設計、JWT検証まで公式ドキュメント準拠の実コード付きで解説します。

IDトークン（OpenID Connect）とアクセストークン（OAuth2）は役割も宛先も検証方法も別物です。混同するとAPIが認可を素通しする重大な脆弱性になります。両者の違いを『誰に向けたものか（audience）』から原理で理解し、Authorization Code + PKCEの実フロー、joseによるJWT検証、BFFでのトークン保管まで本番運用に耐える実コードで解説します。

性質の異なる複数のAIツールを単一SSOで束ねる社内プラットフォームの認証ハブ（BFF）を、実コードを唯一の真実源として解剖します。自作OIDCプロバイダ、per-tool audienceに絞った短命JWT、PKCE S256必須、URLにトークンを載せない自動POST、HMAC署名付きバックチャネルログアウト、AES-256-GCMによるPII暗号化と監査ログまでを実装レベルで解説。

B2B SaaSで必須となる、複雑なユーザー属性ごとの認証・認可をAWS Cognitoで実現する方法を解説。8種類のユーザー属性、ページ単位・API単位のアクセス制御、署名付きURL、Terraform IaCによる完全自動化まで、実践的な設計パターンを公開。