Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の原点は最近 IDaaS(Identity as a Service) として注目を集めている Auth0 が Cookie vs Token とか言う比較記事を書いたことだと思っていますが、今探したところ記事は削除されたのか最近の記事にリダイレクトされてるようなのでもうよくわからん。 なのでそれはおいといて、この話題を扱う記事は クライアントでのセッション管理 : HTTP Cookie vs WebStorage(LocalStorage / Sess

[ritou]

Typoも直しました！

[tettekete37564]

“Cookie vs JWT” < いやそういうレイヤじゃなくね？SHA256+サーバサイドDB vs JWTってのならわかるが。JWTはOAuthのようなサービス実装で有用だが、一般的なセッセションIDのためのトークンとしてはメリットがない。

[hdampty7]

セキュリティの仕組みは理解しないとダメだけど自分で考えて自作しちゃダメよ。専門家がきちんと用意してくれたものを使うの。実装するレイヤーを間違えることが一番の事故原因だと思うよ。

[masa_w]

この記事主の方、認証周りでは割と有名どころのエンジニアだと思うのだけど、専門家に任せろと賢しげに凸った人がいるみたいね

[cl-gaku]

セッション管理は使い慣れたWeb Application Frameworkに任せてそいつをBFFにする、でいいんじゃないのとだいたい思う

[ockeghem]

僕のpeingでの質問回答がきっかけ（の一つ）だったようでありがとうございます。ただ、想定読者には少し難しい内容かもしれません

[NOV1975]

JWTにセッションありえないって言っている人が大抵LocalStrageへの保存を前提としているのはどうかと思うのでこういう記事は必要かな。いずれにしても、メリデメはなんにおいてもある。

[yosuke_furukawa]

CBOR Web Tokenなんてのも考えられるのか

[efcl]

エンコードされた構造体を保存する仕様としてのJWT

[takezaki]

“Cookie や WebStorage に保存するトークンに誰が何のために発行したものか、有効期限を検証できるようにしたい場合には JWT の Payload にあるこれらの claim を意識し、Signature の検証と合わせて利用することをお勧めします。”

[kawasin73]

セッション無効化のためにはセッションIDをJWTに含めて検証するために中央集権的な管理が必要になり、分散独立であるJWTのメリットがなくなるからユーザに渡すべきでないと思う https://kawasin73.hatenablog.com/entry/2019/07/22/020650

[griefworker]

"構造化されたデータを安全に送受信するための標準化された仕様"

[fukumura]

ジョットと読むんですよね。。。？

[onesplat]

この話、以前からCookie vs JWTって話になるのが不毛だとずっと思っていた。別にJWTをSet-Cookieしてもええやんっていう。Cookieはstorageとprotocolで、jwtはただのformatであって、全く別の技術なんだということを理解してほしい

[hemispherwhistle]

web制作 認証 nuxt

[kiririmode]

jwt

[h1t0cH1]

あ、これリアルタイムで助かります

[rmanzoku]

ritouさんに会うたびに聞いていたらとうとう記事にしてくれました。ありがとうございます。