追記 2020-05-13 この方法に問題があることをご指摘いただきました。本来関係ないクライアントがリソースサーバーにアクセスできる問題がありますので、取り急ぎこの方法は非推奨であることを書いておきます(では、どのようにすればいいのかというところをまた後日追記します)。 リソースサーバーと全く関係の無いクライアントが、全く関係のない文脈で正当に取得したIDトークンを用いて、リソースサーバーの API にアクセスできてしまうと思われます。リソース側が evil かどうかも関係なく、むしろリソースサーバーは騙される側ですね。図を参照してください。 pic.twitter.com/kKCZohOgu2 — Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect (@darutk) May 13, 2020 追記 2020-05-18 結論として
![アプリケーションを oauth2-proxy で保護して curl でアクセスするまで](https://cdn-ak-scissors.b.st-hatena.com/image/square/07ef088e85b445a50c543af08d06fdfbf4e005a3/height=288;version=1;width=512/https%3A%2F%2Fblog.ssrf.in%2Fimages%2Ficons%2Ficon-512x512.png)