• はてなブックマーク
  • テクノロジー
  • SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ
  • Twitterでシェア
  • Facebookでシェア

SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ

テクノロジー カテゴリーの変更を依頼 記事元:mizumotok.hatenablog.jp
適切な情報に変更
509 usersがブックマーク コメント28

    記事へのコメント28

    • 注目コメント
    • 新着コメント
    ockeghem
    ockeghem 悪意のあるサードパーティのJavaScriptやXSSは、元々あるJavaScriptと同じ権限を持つので、トークン類をどこに保存しても脅威はあまり変わらない。よって、できるだけシンプルな実装をお勧めします

    2022/08/03 リンク

    その他
    infobloga
    infobloga これ、第三者のコードがAuth0のアクセスポイントにアクセスすればトークンを取得できるわけだから、「他のJSからのアクセスが困難」というメリットは実際にはないと思う。

    2022/08/03 リンク

    その他
    NOV1975
    NOV1975 cookieが漏洩しない前提ならどこでも変わらん問題では?

    2022/08/03 リンク

    その他
    akibare
    akibare 最終的にはAuth0のCookieに頼っているのでsecurity by obscurityっぽいけど、トークンをCookieに直接入れるよりはやや安全といえるのかな?単純なCSRFは防げてUXが劣化しない。

    2022/08/03 リンク

    その他
    ku__ra__ge
    ku__ra__ge 『Auth0のサーバとはCookieでセッションを維持しておき、トークンが有効でないとき(タブを閉じて消えたとき、トークンの有効期限が切れたとき)にAuth0のサーバから取得しているわけです。』 んんん?

    2022/08/03 リンク

    その他
    xlc
    xlc 認証状態を継続させたいなら何らかの形で「保存」が必要で、その保存方法の漏洩のリスクがいかほどかという話だと思うのだが。自分で発明せず定番の方法を使うのがよいと思うよ。

    2022/08/03 リンク

    その他
    kimihito
    kimihito https://firebase.google.com/docs/auth/web/service-worker-sessions?hl=ja があったなーというのを思い出した

    2022/08/03 リンク

    その他
    shotawatanabe
    shotawatanabe localStorageとかシークレットモードで使えないし、ブラウザのセキュリティ関連で仕様がコロコロ変わりすぎて使えない

    2022/08/03 リンク

    その他
    Fluss_kawa
    Fluss_kawa XSS仕掛けられる時点でリフレッシュトークン取り出せちゃうから、アクセストークン取得しちゃえるから実は保存場所ってそんなに重要ではない気がする。メモリの方がカジュアルハッキングには強いのかもしれんけど

    2022/08/03 リンク

    その他
    nannan12
    nannan12 被害を抑えるにはIDaaSで許可するリクエストを制限するのが一番かもですね

    2022/08/04 リンク

    その他
    rrrkaneko
    rrrkaneko Implicit Grant FlowはOAuth2.1で非推奨に。

    2022/08/04 リンク

    その他
    hdampty7
    hdampty7 httponlyでないcookieをこの文脈で語るのは混同の元。

    2022/08/04 リンク

    その他
    takyam1213
    takyam1213 つまりcookie sessionでいいってことですかね……!

    2022/08/03 リンク

    その他
    n314
    n314 複雑な割にセキュリティあまり向上してなくない?と思ったらブコメに既に書かれていた。本当に悪意あるライブラリが紛れてても安全ってうたってるのかな?

    2022/08/03 リンク

    その他
    Fluss_kawa
    Fluss_kawa XSS仕掛けられる時点でリフレッシュトークン取り出せちゃうから、アクセストークン取得しちゃえるから実は保存場所ってそんなに重要ではない気がする。メモリの方がカジュアルハッキングには強いのかもしれんけど

    2022/08/03 リンク

    その他
    Helfard
    Helfard いやいや待って、通信したらあかんのでは?

    2022/08/03 リンク

    その他
    ockeghem
    ockeghem 悪意のあるサードパーティのJavaScriptやXSSは、元々あるJavaScriptと同じ権限を持つので、トークン類をどこに保存しても脅威はあまり変わらない。よって、できるだけシンプルな実装をお勧めします

    2022/08/03 リンク

    その他
    okzk
    okzk 「自サービス内の認証だけの場合Implicit flowで十分」って、そもそもSPAがID TokenのConsumerになって嬉しいユースケースって(Detached Signature以外で)あるのかな?

    2022/08/03 リンク

    その他
    Nyoho
    Nyoho “SPAの認証トークンをどこに保存するか”

    2022/08/03 リンク

    その他
    umai_bow
    umai_bow 絨毯爆撃的な攻撃ができないって話なのかな

    2022/08/03 リンク

    その他
    yarumato
    yarumato “SPA認証トークンをどこに保存するか論争。localStorageやCookieがよく使われますが、Auth0は違う方法を採用。トークンはインメモリに保存。自サービス内の認証だけのもっと簡易な構成”

    2022/08/03 リンク

    その他
    knjname
    knjname XSS言い出したら極論なんでもできるけど、度合いで検討する話だと思う とにかく自サイトでのCookieや他ストレージ不要、トークンもコード内で閉包されてれば取り出しようがないというのはいいよね

    2022/08/03 リンク

    その他
    akibare
    akibare 最終的にはAuth0のCookieに頼っているのでsecurity by obscurityっぽいけど、トークンをCookieに直接入れるよりはやや安全といえるのかな?単純なCSRFは防げてUXが劣化しない。

    2022/08/03 リンク

    その他
    NOV1975
    NOV1975 cookieが漏洩しない前提ならどこでも変わらん問題では?

    2022/08/03 リンク

    その他
    ku__ra__ge
    ku__ra__ge 『Auth0のサーバとはCookieでセッションを維持しておき、トークンが有効でないとき(タブを閉じて消えたとき、トークンの有効期限が切れたとき)にAuth0のサーバから取得しているわけです。』 んんん?

    2022/08/03 リンク

    その他
    shotawatanabe
    shotawatanabe localStorageとかシークレットモードで使えないし、ブラウザのセキュリティ関連で仕様がコロコロ変わりすぎて使えない

    2022/08/03 リンク

    その他
    infobloga
    infobloga これ、第三者のコードがAuth0のアクセスポイントにアクセスすればトークンを取得できるわけだから、「他のJSからのアクセスが困難」というメリットは実際にはないと思う。

    2022/08/03 リンク

    その他
    xlc
    xlc 認証状態を継続させたいなら何らかの形で「保存」が必要で、その保存方法の漏洩のリスクがいかほどかという話だと思うのだが。自分で発明せず定番の方法を使うのがよいと思うよ。

    2022/08/03 リンク

    その他
    hasiduki
    hasiduki むずかしー!!!!!

    2022/08/03 リンク

    その他
    Funyapu
    Funyapu リロード、別タブ対応どうなんだろ

    2022/08/03 リンク

    その他
    taku-o
    taku-o auth0公式にある資料は割と面白いよね

    2022/08/03 リンク

    その他
    tettekete37564
    tettekete37564 この辺のデファクト知らないので後で読む

    2022/08/03 リンク

    その他
    door-s-dev
    door-s-dev リロードで消えるのは流石に不便な気がするけど要件次第

    2022/08/03 リンク

    その他
    kimihito
    kimihito https://firebase.google.com/docs/auth/web/service-worker-sessions?hl=ja があったなーというのを思い出した

    2022/08/03 リンク

    その他
    aktkro
    aktkro

    2022/08/03 リンク

    その他
    dorapon2000
    dorapon2000 “Auth0ではインメモリでトークンを保持しつつ、必要なときはAuth0サーバに取りに行く仕組みになっている”

    2022/08/03 リンク

    その他
    kokuyouwind
    kokuyouwind sendMessage使ったインメモリでのトークン保持、いろいろ調べたけどこの記事の図が一番わかりやすかったわ

    2022/04/15 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ

    SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth...

    ブックマークしたユーザー

    • shunmatsu2023/11/29 shunmatsu
    • dandelion2939492023/07/28 dandelion293949
    • mytechnote2023/03/30 mytechnote
    • techtech05212023/03/11 techtech0521
    • s-nanagi2023/03/02 s-nanagi
    • morita212023/02/03 morita21
    • questbeat2023/01/21 questbeat
    • daaaaaai2022/09/28 daaaaaai
    • kmiya_bbm2022/09/22 kmiya_bbm
    • akymrk2022/09/02 akymrk
    • michael262022/08/23 michael26
    • kikiki-kiki2022/08/15 kikiki-kiki
    • lugecy2022/08/15 lugecy
    • stntaku2022/08/07 stntaku
    • mimickn2022/08/06 mimickn
    • drunkturtle2022/08/05 drunkturtle
    • hdkINO332022/08/05 hdkINO33
    • mikage0142022/08/04 mikage014
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.