ダッシュボード

リクエストフロー

1. index.php → Func_App() が全 Func_* をロードし、Func_App_HandleJwtRedirect() で ?kym_token= を受け取った際に Secure/Lax Cookie へ保存します。
2. Func_App() は Func_Session_GetAuthState() を呼び出し、結果を auth_state に載せた上でルーティング・描画を進めます。
3. 描画後は Func_Page_Main() がヘッダー・オフキャンバスへ同じ auth_state を共有し、各 UI スロットから再読込なしで状態を参照できます。

JWT / セッション

• Func_Auth_VerifyJwt() は Base64URL デコード、HS256 署名、exp/iat（AUTH_JWT_CLOCK_SKEW で猶予）、iss=AUTH_JWT_EXPECTED_ISS、aud=AUTH_JWT_EXPECTED_AUD を順にチェックします。
• 検証シークレットは Func_Auth_GetJwtSecret() が kym_auth.auth_settings_ms から jwt_secret を取得し、失敗時のみ AUTH_SHARED_SECRET にフォールバックします。
• 成功した payload は is_authenticated / user へ整形され静的にキャッシュされるため、同一リクエスト内での追加検証は発生しません。

CSRF / ログアウト

• Func_Csrf_GenToken() が hidden input を発行し、ログアウト POST は Func_Csrf_ValidToken() を通過しない限り破棄されます。
• Func_View_Logout() → Func_Session_ClearAuthState() が kym_token Cookie を即失効させ、PHP セッション ID も再発行します。
• ヘッダー／オフキャンバスのボタンは auth_state を唯一のデータソースとしているため、ログアウト後の再描画だけで反映されます。

JavaScript / UI 制御

• body には class="layout-shell is-authenticated|is-guest" と data-auth-state="authenticated|guest" が必ず付与されます。
• ボタンやリンクをログイン必須にする場合は .requires-auth を付与すると、CSS と JS 双方で一括制御できます。
• 追加の権限制御が必要な場合でも document.body.dataset.authState だけを参照すれば整合性を保てます。
• トーストやモーダルなどの即時フィードバックは、同じ状態値を見て挙動を切り替えるように統一してください。

const isAuthenticated = document.body.dataset.authState === 'authenticated';
                const saveBtn = document.querySelector('[data-feature="save"]');
                if (!isAuthenticated && saveBtn) {
                    saveBtn.classList.add('requires-auth');
                    saveBtn.addEventListener('click', (event) => {
                        event.preventDefault();
                        alert('ログインすると保存できます');
                    }, { once: true });
                }