"JWT=ステートレス"ã‹ã‚‰ä¸€æ©è¸ã¿å‡ºã™ãŸã‚ã®è€ƒãˆæ–¹ãŠã¯ã‚ˆã†ã”ã–ã„ã¾ã™ã€ritouã§ã™ã€‚ ã“ã®è©±ã«ä¹—ã£ã‹ã£ã¦ã„ãã¾ã™ã€‚ 3行㧠ãƒã‚°ã‚¢ã‚¦ãƒˆæ™‚ã«JWTを無効化ã§ããªã„実装ã¯ä»Šå¾Œè„†å¼±æ€§è¨ºæ–ã§ã€ŒOWASP Top 10 2021é•åã€ã¨æŒ‡æ‘˜ã•ã‚Œã‚‹ã‚ˆã†ã«ãªã‚Šãã†(今も個別ã«ã•ã‚Œã¦ã‚‹ã‹ã‚‚ã—ã‚Œãªã„ã‘ã©) JWTã¯å˜ç´”ãªãƒ•ã‚©ãƒ¼ãƒžãƒƒãƒˆãªã®ã§ã€ã‚¹ãƒ†ãƒ¼ãƒˆãƒ¬ã‚¹ãªã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã«ãŠã„ã¦ãƒã‚°ã‚¢ã‚¦ãƒˆã—ãŸã¨ãã«æ–‡å—列自体を無効化ã§ããªã„件ã¯ç‹¬è‡ªã‚¨ãƒ³ã‚³ãƒ¼ãƒ‰æ–¹å¼(一般的ã«ãƒ•ãƒ¬ãƒ¼ãƒ ワークã®Cookieストアã¨å‘¼ã°ã‚Œã¦ã„ã‚‹ã‚‚ã®)ã§ã‚‚èµ·ã“ã‚Šå¾—ã‚‹ 「セッションID vs JWTã§å†…包〠以外ã«ã‚‚ 「セッションIDã‚’JWTã«å†…包ã€ã‚‚ã‚り得る。既å˜ã®æ©Ÿèƒ½ã‚’残ã—ã¤ã¤ã€ŒJWTã§æ¦è£…ã€ã™ã‚‹é¸æŠžè‚¢ã‚‚考ãˆã¦ã¿ã¦ã¯ã©ã†ã‹ã€‚ ステートレスãªã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã§ãƒã‚°ã‚¢ã‚¦ãƒˆã®éš›ã«æ–‡å—列自体を無効化ã§ããªã„å•é¡Œ ã“ã‚Œã¯å‰ã‹ã‚‰è¨€ã‚ã‚Œã¦ã„ã¾ã™ã—ã€é§†ã‘出ã—何ã¨ã‹å‹¢ã®Qiita記事ã«æ›¸ã‹ã‚Œã‚‹ãらã„ã«ã¯ä¸€èˆ¬çš„ã§ã™ã€‚ 2
JSON Web Token ã®åŠ¹ç”¨ - Qiita
OpenID Connect ã®ç½²å検証 - Carpe Diem
serverlessã§CUSTOM AUTHを利用ã™ã‚‹æ™‚ã¯TTLã®è¨å®šã«æ°—ã‚’ã¤ã‘ã¦ï¼ï¼ - Make Local Happiness
{{#tags}}- {{label}}
{{/tags}}