AWSのIDトークン使用方法の文章に「Web API オペレーションを使用して、アプリケーション外で ID トークンを使用することも可能です。」と記載があります。 OIDCの仕様では、例えばSPAで認可コードフローによりIDトークンを受け取った後に、バックエンドサーバへIDトークンを送信して署名検証して認証に利用し、SPAへセッション発行したり、毎回のリクエストでIDトークン自体を送信しセッションのように使うことも許容されているのでしょうか? https://docs.aws.amazon.com/ja_jp/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-id-token.html フロントエンドからバックエンドに送って良いか悪いかと言われたら、良いです。 しかし、一律で何にでも使って良いというものではあ