はじめに カミナシでID管理・認証基盤を開発しているmanaty(@manaty0226)です。 以前の記事にて、RFC 8705 OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens を利用したクライアントと認可サーバー間のAWSアーキテクチャ構成について考察しました。今回の記事では、以前の記事に基づきクライアントが認可サーバーからアクセストークンを取得したのちに、クライアントがどのように安全にアクセストークンを利用してAPI認可を行うのか検討した内容を書きます。 kaminashi-developer.hatenablog.jp なお、本記事で紹介するAWSの各種仕様は2025年3月3日時点のものであり、今後AWSのアップデートによって変わる可能性があります。 最新の仕様については公