• Twitterでシェア
  • Facebookでシェア

JWT認証、便利やん? - ブログ

テクノロジー カテゴリーの変更を依頼 記事元:auth0.hatenablog.com
適切な情報に変更
386 usersがブックマーク コメント44
    共有

    • 記事へのコメント44

    • 注目コメント
    • 新着コメント
    その他
    オーナーコメントを固定しています
    auth0
    オーナー auth0 せるふ

    2018/09/21 リンク

    その他
    infobloga
    infobloga 元記事はRuby怖いからVBにしましょうレベルで理不尽。考慮して当たり前だし、むしろ考慮してない奴いるのか?レベルのこと書いて批判した気になってる。こういう地道な反論が健全な技術発展に重要 / コメントした

    2018/09/21 リンク

    その他
    sin20xx
    sin20xx 論点がずれてる気がする。ようは理解しないで使う人間はなんなのよ?という話で理解している人はぶっちゃけ何をどうやって実装してもご自由にという話かと。ようは道具を使う事を目的とするなよ、って話だと思うが。

    2018/09/21 リンク

    その他
    j5ik2o
    j5ik2o そうそう。僕はこっちのブログの考えに近い。認証認可機構の設計の問題であって、JWTの問題ではないよね。

    2018/09/21 リンク

    その他
    kwhrtsk
    kwhrtsk 「どうしてJWTをセッションに使っちゃうわけ?」というタイトルで「妥当なリスク対応ができていれば問題はない」は無理があるのでは。ダメ絶対じゃなくてトレードオフの話なんだよね。

    2018/09/21 リンク

    その他
    sudow
    sudow 「認証」と「セッション」は別のもの。という単純な前提がわかってないブコメ多すぎでは。しかもトップブコメになってるという。

    2018/09/21 リンク

    その他
    Kil
    Kil うーん、結局、指摘の元記事が言いたいのはは「この記事書いた人くらいの知識持ったうえで使ってくれよ」という内容なのでは? まぁ、元記事のタイトルの付け方が「やや煽り気味」であるのは確かだけども。

    2018/09/21 リンク

    その他
    rti7743
    rti7743 過去の歴史の中で安全な運用のノウハウが確立されているセッションを捨てるにはまだ早いかな。もう少し事例が出てきて、定番のライブラリが整備されてからでいい。まだ人柱向けなんだろう。

    2018/09/21 リンク

    その他
    n314
    n314 誰か言語別おすすめライブラリ一覧を作ってくれまいか…

    2018/09/21 リンク

    その他
    y-kawaz
    y-kawaz ほんこれ、まともに使えば問題ない。ただ「JWTでセッション管理」に問題がないかと言うと実はある。ググったレベルの知識で危険指摘してくる連中への説明コストだ。偶にセキュリティ部門とかからも言われて辟易する。

    2018/09/21 リンク

    その他
    benridane111
    benridane111 もしもの幅が広すぎて反論も難しそう。HTTPはステートレスに保つことが本来の姿で、それを取り戻そうとしている動きがJWTとかだったり。

    2018/09/21 リンク

    その他
    オーナーコメントを固定しています
    auth0
    オーナー auth0 せるふ

    2018/09/21 リンク

    その他
    Chisei
    Chisei 読んだ

    2020/07/06 リンク

    その他
    takaesu
    takaesu JWTの有効な部分

    2019/01/18 リンク

    その他
    oinume
    oinume アンサーソング出てた

    2018/09/28 リンク

    その他
    takezaki
    takezaki “HttpOnly フラグ”を無視する時点で察し

    2018/09/26 リンク

    その他
    teppeis
    teppeis 「XSSの脆弱性がある時点で論外」ここだけ同意できない

    2018/09/26 リンク

    その他
    kibitaki
    kibitaki 煽り気味反論は耐えてたけどlocalstorageでダメだ終わったお粗末合戦しててくれ。実装や運用がカス言うたら負け。それらをどれだけ塞げるかが得点ですよ。

    2018/09/23 リンク

    その他
    rrrkaneko
    rrrkaneko tokenが漏洩した場合におけるcnf claimを使ったPoPの仕様提案って2016年頃のやつしか見つけられないのだけど、結局どうなったのだろう。experimentalとして実装しているものはあるみたいだけど。 https://tools.ietf.org/html/rfc7800

    2018/09/23 リンク

    その他
    MrBass
    MrBass HttpOnly フラグの保護を受けないのは大きいかなと思う XSSは身近にあるので

    2018/09/22 リンク

    その他
    spring_raining
    spring_raining これ

    2018/09/21 リンク

    その他
    lyiase
    lyiase 元記事がアレで便利なのにもほぼ同意するんだけど、JWT認証で最も重要なのは「署名」なのにこれのチェックが省略される実装が結構あって、それでもJWT認証と呼べちゃうのがJWT認証で一番クソ。

    2018/09/21 リンク

    その他
    y-kawaz
    y-kawaz ほんこれ、まともに使えば問題ない。ただ「JWTでセッション管理」に問題がないかと言うと実はある。ググったレベルの知識で危険指摘してくる連中への説明コストだ。偶にセキュリティ部門とかからも言われて辟易する。

    2018/09/21 リンク

    その他
    benridane111
    benridane111 もしもの幅が広すぎて反論も難しそう。HTTPはステートレスに保つことが本来の姿で、それを取り戻そうとしている動きがJWTとかだったり。

    2018/09/21 リンク

    その他
    escape_artist
    escape_artist この記事を書くためだけに、はてなIDを新しく取ったの?

    2018/09/21 リンク

    その他
    KoshianX
    KoshianX 扱いをポカしやすいというのは実装者のレベルが必ずしも高いとは限らないので……というのはあるけどねえ……。

    2018/09/21 リンク

    その他
    mjy
    mjy これは煽ってPV稼いだ場合に「真意はこうなんで丁寧に読んでね」が許されるかって問題だね。結論としては許されない。だけれど、同じ方法で何度でもPVは稼げる。さあどうする。

    2018/09/21 リンク

    その他
    keim_at_Si
    keim_at_Si 支持。向こうの記事読んで、Disるために無理に項目増やしてるような違和感を感じたんだけど、門外漢だったのでブコメしなかった。そこらへんの違和感を説明してくれてて、とてもありがたい。

    2018/09/21 リンク

    その他
    esodov
    esodov リフレッシュトークンってセッションとほぼ同義な気が。cookieの仕組みで守るか、送る機会減らして守るかの違いしかないよね。要はcookieであれwebストレージであれ認証と認可分けろやって話では。

    2018/09/21 リンク

    その他
    teitei_tk
    teitei_tk アンサーソング

    2018/09/21 リンク

    その他
    sylph01
    sylph01 ところでブログのURLがauth0なんですがまさかとは思うけどAuth0社とは関係ないよね…???

    2018/09/21 リンク

    その他
    builtinnya
    builtinnya よく localStorage にトークンを保存するのは insecure と言われるが、それは妥当でないと思う。XSS がある場合直接リクエストを投げられるので HttpOnly Cookie でもそう変わらない。CSRF ない分 JWT + localStorage が楽なのは分かる

    2018/09/21 リンク

    その他
    NOV1975
    NOV1975 けちょんけちょんにしようとしてるわりには内容が、という感じだったのでこちらの方がわかる

    2018/09/21 リンク

    その他
    dekasasaki
    dekasasaki 適材適所

    2018/09/21 リンク

    その他
    sudow
    sudow 「認証」と「セッション」は別のもの。という単純な前提がわかってないブコメ多すぎでは。しかもトップブコメになってるという。

    2018/09/21 リンク

    その他
    t10471
    t10471 強制切断出来ないとだめなシステムだと使えない場合はあるかもしれないけど、ステートレスは超便利だと思うわー。昔EC-CUBEでRDBでセッション管理してるとそこがアクセス量のボトルネックになったな…

    2018/09/21 リンク

    その他
    tumo300-500
    tumo300-500 元記事はセッションストアとして使うのがリスキーだが認証に使うのは便利という内容では?/現実問題JWTの内容が必要な処理するときはDB触るのであれば伝統的なセッション管理に勝るメリットあるかな。プロトタイピング?

    2018/09/21 リンク

    その他
    tettekete37564
    tettekete37564 セキュリティー関連の技術は複数のレイヤーとノードで構成されている。個々の構成要素の役割を理解し正しい手順で実装・運用で実現する。例えば TOTP の更新タイムを24Hにしたいとか言う馬鹿もそりゃいる

    2018/09/21 リンク

    その他
    masayoshinym
    masayoshinym 元記事の書き方が好きじゃないのでこの記事があって良かった。

    2018/09/21 リンク

    その他
    umai_bow
    umai_bow 争いだ

    2018/09/21 リンク

    その他
    ledsun
    ledsun (ユーザーのロック状態など)DBを参照しないといけないなら、uuidでランダムなトークンを生成してDBに保存しておくのに比べて、何が便利なのだろうか?

    2018/09/21 リンク

    その他
    xlc
    xlc 元記事にもコメントしたけど、JWTでググるとサーバに置くべきセッションデータの代替みたいな記事がヒットするのが問題。短いセッションでURLでトークンを引き渡す実装のための標準化でしょ?/ バカが多いのでメタブし

    2018/09/21 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    JWT認証、便利やん? - ブログ

    どうして JWT をセッションに使っちゃうわけ? - co3k.org に対して思うことを書く。 (ステートレスな)...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.