Hello
Web / API (/api, /auth) / 保護アセット
(/assets) はすべて apex の単一 CloudFront Distribution に
相乗りし、behavior でオリジンを振り分ける。session_jwt /
refresh_token / asset_jwt はすべて host-only
かつ HttpOnly、Path で送信範囲を分離する。
- sub
Protected asset
asset_jwt Cookie (Path=/assets) を使って
/assets/* behavior の CloudFront Function が
署名・期限・scope を検証する。