"JWT=ステートレス"から一歩踏み出すための考え方

おはようございます、ritouです。 この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独自エンコード方式(一般的にフレームワークのCookieストアと呼ばれているもの)でも起こり得る 「セッションID vs JWTで内包」 以外にも 「セッションIDをJWTに内包」もあり得る。既存の機能を残しつつ「JWTで武装」する選択肢も考えてみてはどうか。 ステートレスなセッション管理でログアウトの際に文字列自体を無効化できない問題 これは前から言われていますし、駆け出し何とか勢のQiita記事に書かれるぐらいには一般的です。 2

[sonots]

JWTでもサーバサイドで無効化できた方が良い派だったので、異論ない。JWTにしておくことで部分的にDB参照せずにすんで負荷集中しないし。

[odz]

JWTにsession id埋め込むくらいなら、単に定期的にsession idをregenerateすれば良いのでは。あと少数の不正トークンに対するバックエンドアクセスコストと、多数の正当トークンに対する署名検証コストの比較はちと微妙。

[y-kawaz]

スケールするメリットと即時失効の間をとった実装として機密情報の取得や更新系APIの時だけ失効リストをチェックするって実装ならした事ある。こんな感じに＞ https://twitter.com/kawaz/status/1436724705377980419?s=21

[metatrading]

改ざん耐性を持つJWTにSessionID入れて事前検証で弾ければ、サーバリソースを過剰に使わんよね。それを冒頭のログアウトの機構と合わせて入れればお得でしょう。という意味と理解。

[takeag]

是非そうしたいのでフレームワークの対応お願いします

[daichirata]

それ結局 session 引くなら session の文字列でよくないですかみたいな所あるけど、JWTの値を持てる仕様がちょっと便利な時があったりするのは分かる

[newnakashima]

ログアウト時に即無効化させたいなら本末転倒気味なのを承知の上でインメモリDBにブラックリスト持たせるのが良さそうな気がする

[ms2sato]

私多分ちゃんと読めてないのだろけれども、セッションIDのみCookieに保持するRedisストア等に対する優位性が見えていない。勉強したらわかるのかなぁ。

[kiririmode]

セッションIDをjwtに含めることでの改竄耐性強化、期限管理のバックエンド側負荷の削減

[komutan1]

JWTである必要あるのかな。署名した文字列をCookieに入れるだけではダメ？

[chinpokomon_master]

JWTでステートフルうるせぇ猫野郎、他に、いますかっていねーか、はは

[tumo300-500]

`ログアウト時にJWTを無効化できない奴は何をやってもダメ` / 素朴に JWT をセッション管理に使っている実装って実際どのぐらいあるんだろうか

[tmurakam]

無効化できるならそもそもJWTの意味ないのでは、、、

[onesplat]

いらねえ

[matarillo]

わしは「ステートレスでログアウトは幻想」派 https://twitter.com/matarillo/status/1436581137845866501

[NOV1975]

本質的にステートレスなWebのI/Fをどうにかしてから言って欲しい話ですなあ…

[takezaki]

なるほど：“「セッションIDをJWTに内包する」 という考え方です。”