🩹 Check aud in ID token manually

Author: H1rono

internal/traq/oidc.go

@@ -44,6 +44,15 @@ func generateAuthProofs() (*service.AuthProofs, error) {
 	}, nil
 }
 
+func (c *Client) checkIDTokenAudience(idToken *oidc.IDToken) error {
+	for _, aud := range idToken.Audience {
+		if aud == c.clientID {
+			return nil
+		}
+	}
+	return service.NewUnauthenticatedError("invalid id token: audience mismatch")
+}
+
 func (c *Client) NewAuthCodeURL(ctx context.Context) (*url.URL, *service.AuthProofs, error) {
 	authProofs, err := generateAuthProofs()
 	if err != nil {
@@ -90,6 +99,9 @@ func (c *Client) ExchangeCodeToToken(
 		return "", service.NewUnauthenticatedError("invalid authorization code").
 			WithInternal(err)
 	}
+	if err := c.checkIDTokenAudience(idToken); err != nil {
+		return "", err
+	}
 	return service.Token(rawIDToken), nil
 }
 

internal/traq/traq.go

@@ -10,6 +10,7 @@ import (
 )
 
 type Client struct {
+	clientID        string
 	oauth2Config    *oauth2.Config
 	idTokenVerifier *oidc.IDTokenVerifier
 }
@@ -37,10 +38,15 @@ func LoadClient(ctx context.Context, config ClientConfig) (*Client, error) {
 	idTokenVerifier := provider.Verifier(&oidc.Config{
 		ClientID: config.ClientID,
 		// 他のアプリが発行したトークンも受け入れるため、クライアントIDのチェックはスキップする
+		// 必要に応じてaudのチェックを入れる; checkIDTokenAudienceを参照
 		SkipClientIDCheck:          true,
 		SkipExpiryCheck:            false,
 		SkipIssuerCheck:            false,
 		InsecureSkipSignatureCheck: false,
 	})
-	return &Client{oauth2Config: oauth2Config, idTokenVerifier: idTokenVerifier}, nil
+	return &Client{
+		clientID:        config.ClientID,
+		oauth2Config:    oauth2Config,
+		idTokenVerifier: idTokenVerifier,
+	}, nil
 }