サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ - くろの雑記帳

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（私訳:JWTトークンはログアウト後にサーバー上で無効化すべきです）と書いてあるけど、どうやって無効化するんだ? ブラックリストに入れる?https://t.co/bcdldF82Bw— 徳丸 浩 (@ockeghem) 2021年9月10日 JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top

[kuro_m88]

書きました

[deep_one]

「即時無効とは言わないが有効期限を短くしとけ」か。

[toritori0318]

有効期限を超絶短くしてリフレッシュする、でFAかなーと思ってた。しかし事は単純ではない

[strawberryhunter]

即時性を求めるならJWTの有効性を確認するために毎回DB等にアクセスしなければならない。大規模化でサーバーサイドセッションをメモリ上に保持できなくなってDB等に保存するのと大差ない。わかりきったことでは？

[tkmkg8m]

“JWTが元々「認証情報の受け渡し」を意図して設計されたものでありセッション管理を意図していたわけではない”って前提を持ててれば、そのあとの判断も大きくは間違わない、はず……

[kkeisuke]

“ステートレスなJWTトークンは、攻撃者の機会を最小にするために、むしろ短命であるべきである。寿命の長いJWTの場合は、アクセスを取り消すためにOAuth標準に従うことが強く推奨される。”

[wkwkhautbois]

OWASP Top 10、日本語がおかしい可能性は疑えても、その下に書いてある英語が古くて違う可能性は疑わなかったなぁ。

[bluegold]

「(寿命の長い JWTトークンについては)サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱だ」でいいのかな。JWT でステートレスなセッション管理は幻想。

[tinsep19]

ログアウトするのはどこ？authnサーバー？oidcクライアントであるサーバー？で、どちらかに脆弱性があるっていってたの？

[W53SA]

“ JWTは本来的にはセッション管理のためのものではなく認証情報の受け渡しのためのもの”

[NOV1975]

特定の意図で使われる際のJWT、という話であればまあ…