気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
co3k.orgエントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント60件
- 注目コメント
- 新着コメント
co3k
※タイトルについて調整中です。お騒がせして申し訳ありません/ id:suginoy そのように修正しました/ id:nakag0711 対策してみました/ id:iktakahiro それらはOIDCですね。罠を踏みやすいという点を除きJWTは問題視してません
esodov
「cookie の HttpOnly フラグの保護を受けない」はjwtだからじゃなくてwebストレージだからではないの?/ドメイン跨いで認可するならcookie使えない以上jwtをwebストレージで使うしかないよね。跨がないならセッションでもいい。
iktakahiro
Firebase も Auth0 も Refresh Token + JWT ですけど見解が聞きたい。認証はともかく認可のステップまでまじめに考えるとどっかしらで DB 参照せざるを得なく 'ステートレス' にはならないんですよね。
luccafort
何故使うのか?に対しては多分便利だからが答えなんだと思うんすよね。ただ問題はここで書かれているセキュリティー的な問題とか鍵の管理の問題とかはあるよね?ということなんだけどそれはJWTに限らないからなあ。
infobloga
「そんなこと知らないで使う奴いたのか?」レベルのことしか書いてなくてゲンナリ。JWTでトークンのリフレッシュ対策できない奴は、CookieのCSRF対策もできないだろうから、どっちも使わず寝てたほうが良い
esodov
「cookie の HttpOnly フラグの保護を受けない」はjwtだからじゃなくてwebストレージだからではないの?/ドメイン跨いで認可するならcookie使えない以上jwtをwebストレージで使うしかないよね。跨がないならセッションでもいい。
mi_kattun
この問題は参照先の記事も含めて考えたことあるけどCookieとWeb Storageの比較は妥当なのかな?任意のJSを実行可能ならトークンを盗む必要性は薄いのでは。参考: https://postd.cc/web-storage-the-lesser-evil-for-session-tokens/
iktakahiro
Firebase も Auth0 も Refresh Token + JWT ですけど見解が聞きたい。認証はともかく認可のステップまでまじめに考えるとどっかしらで DB 参照せざるを得なく 'ステートレス' にはならないんですよね。
tekitekitou
(apiで)user_idしかセッションに保存する情報のないシステムの場合、わざわざjwtをログイン認証に使ったあとuser_idをセッションから引くよりuser_idを直接jwtに入れたらセッションサーバいらなくね?そういう話でない?
ledsun
「JWTをセッションストアとして使うと、サーバー側にセッションストアを用意しなく良い。が、cookie storeと比べてメリットはないので、(使えるなら)枯れた既存実装があるcookie store使えばよくね?」という話でいい?
onesplat
Cookieというストレージ&デリバリの問題と、その値の問題は分けて考えた方が良い。クッキーにJWSを詰めるという手もあるので。ちなみにrevokeはブラックリストなのでJWTだとサイズを小さくできるというメリットはある
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
どうして JWT をセッションに使っちゃうわけ? - co3k.org
備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ... 備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ?」というタイトルが不適切だとご指摘をいただいています。 その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。 ご迷惑およびお騒がせをして大変申し訳ございません。 本文の表現についても改善の余地は大いにありそうですが、こちらは (すでにご意見を頂戴している関係で、) 主張が変わってしまわないように配慮しつつ慎重に調整させていただくかもしれません。 はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッシ
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
co3k.org
co3k.org
co3k.org
co3k.org
nigenige110.hatenablog.jp
anond.hatelabo.jp
blog.tenjuu.net
xtrend.nikkei.com
www.bloomberg.co.jp
www.apple.com
www.ubuntulinux.jp
anond.hatelabo.jp
xtech.nikkei.com
www.itmedia.co.jp
av.watch.impress.co.jp
anond.hatelabo.jp
www.animatetimes.com
www.hashicorp.com
2018/09/21 リンク