JWT èªè¨¼ã®ãƒ¡ãƒªãƒƒãƒˆã¨ã‚»ã‚ュリティトレードオフã®ç§æ„Ÿ - ..ãŸã‚Œã‚ã..2020/5/9追記: 考ãˆãŸçµæžœã€Authorization Bearer ヘッダを使ã£ãŸæ£è¦ã®JWTã®å ´åˆã€åŒä¸€ãƒ‰ãƒ¡ã‚¤ãƒ³ä¸‹ã§èªã¿è¾¼ã‚€å…¨ JavaScript ãŒä¿¡ç”¨ã§ãã‚‹å ´åˆã§ãªã„ã¨ãƒ–ラウザ上ã§å®‰å…¨ã«ãƒˆãƒ¼ã‚¯ãƒ³ã‚’ä¿æŒã§ããªã„ã®ã§ãƒ–ラウザã‹ã‚‰ã®APIアクセス時ã®èªè¨¼ç”¨ã«ã¯ä½¿ã†ã¹ãã§ã¯ãªã„ã¨ã„ã†ã¨ã“ã‚ã«ç€é™¸ã—ã¾ã—ãŸã€‚ブラウザã‹ã‚‰ã®ã‚¢ã‚¯ã‚»ã‚¹ã§ã¯ http only cookie ã«ãƒˆãƒ¼ã‚¯ãƒ³ã‚’入れ〠CSRF 対ç–も忘れãšã«ã¨ã„ã†ã“ã‚Œã¾ã§é€šã‚Šã®å®šçŸ³ãŒæ‰‹å …ã„よã†ã«æ€ã„ã¾ã™ã€‚ JWTを使ã†ã®ã¯ãƒˆãƒ¼ã‚¯ãƒ³ã®å®‰å…¨ãªä¿ç®¡ãŒã§ãã‚‹éžãƒ–ラウザãªãƒã‚¤ãƒ†ã‚£ãƒ–クライアントã‹ã‚‰ã®APIアクセス時ã«é™ã£ãŸæ–¹ãŒã‚ˆã•ãã†ã§ã™ã€‚ APIサーãƒå´ã§ã¯ã‚¢ã‚¯ã‚»ã‚¹å…ƒã«åˆã‚ã›ã¦èªè¨¼æ–¹æ³•ã‚’使ã„分ã‘る両対応ãŒè¦æ±‚ã•ã‚Œã‚‹ã®ã§æ‰‹é–“ã¯å¢—ãˆã¾ã™ãŒæ‰‹æŠœãã§ãã‚‹å ´æ‰€ã§ã‚‚ãªã„ã®ã§ä»•æ–¹ãªã—ã¨ã€‚ React(SPA)ã§ã®èªè¨¼ã«ã¤ã„ã¦ã¾ã¨ã‚ - エンジニアã®æœ¬
Refresh Token: ã©ã®ã‚ˆã†ãªå ´åˆã«ä½¿ç”¨ã—ã€ã©ã®ã‚ˆã†ã« JWT ã¨ç›¸äº’作用ã™ã‚‹ã‹
JWTèªè¨¼ã€ä¾¿åˆ©ã‚„ん? - ブãƒã‚°
ã©ã†ã—㦠JWT をセッションã«ä½¿ã£ã¡ã‚ƒã†ã‚ã‘? - co3k.org
JWTをセッション管ç†ã«è»¢ç”¨ã™ã‚‹ã®ã¯ã‚ã¾ã‚Šè‰¯ã„アイデアã§ã¯ãªã„(èªè¨¼ã ã‘ãªã‚‰ã„ã„よ) - id:anatooã®ãƒ–ãƒã‚°
{{#tags}}- {{label}}
{{/tags}}