タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか? Cookie vs JWT 認証に JWT を利用するのってどうなの? JWT をセッション管理に使うべきではない! リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の原点は最近 IDaaS(Identity as a Service) として注目を集めている Auth0 が Cookie vs Token とか言う比較記事を書いたことだと思っていますが、今探したところ記事は削除されたのか最近の記事にリダイレクトされてるようなのでもうよくわからん。 なのでそれはおいといて、この話題を扱う記事は クライアントでのセッション管理 : HTTP Cookie vs WebStorage(LocalStorage / Sess
この記事はRetty Advent Calendar 2019 21日目の記事です。エンジニアの 神@pikatenor がお送りします。11日目の記事に書かれた「弊社エンジニアの神(注・人名であり実名です)」とは私のことです。 qiita.com さて世はまさにマイクロサービス大航海時代、大規模化した組織・肥大化したコードベースのメンテナンスを継続的に行っていくべく、アプリケーションを機能別に分割する同手法が注目を集めていることは皆さんもご存知でしょう。 マイクロサービスアーキテクチャ特有の設計課題はいくつかありますが、今回は認証情報のような、サービス間でグローバルに共有されるセッション情報の管理のパターンについて調べたことをまとめてみたいと思います。 背景 HTTP は本質的にステートレスなプロトコルですが、実際の Web サービス上では複数リクエストをまたがって状態を保持するために、
SPA+SSR+APIで構成したWebアプリケーションのセッション管理 - Pepabo Tech Portal
カラーミーショップ サービス基盤チームのkymmtです。この記事では、サーバサイドレンダリングするシングルページアプリケーションとAPIサーバからなるWebアプリケーションのセッション管理方法について紹介します。 アプリケーションの構成 構成の概要 今回は例としてEC事業部で提供するカラーミーリピートをとりあげます。構成としては、Railsで作られたAPIサーバ1と、Vue.jsで作られたシングルページアプリケーション(SPA)からなります。また、SPAはExpressが動くフロントエンドサーバでサーバサイドレンダリング(SSR)します。APIサーバはSPAかフロントエンドサーバだけが呼び出します。各ロールはサブドメインが異なります。 APIサーバでセッションIDを持つCookieを発行し、Redisを用いてセッション管理します。また、APIサーバへのセッションが有効なリクエストはフロント
この記事はRetty Advent Calendar 2019 21日目の記事です。エンジニアの 神@pikatenor がお送りします。11日目の記事に書かれた「弊社エンジニアの神(注・人名であり実名です)」とは私のことです。 qiita.com さて世はまさにマイクロサービス大航海時代、大規模化した組織・肥大化したコードベースのメンテナンスを継続的に行っていくべく、アプリケーションを機能別に分割する同手法が注目を集めていることは皆さんもご存知でしょう。 マイクロサービスアーキテクチャ特有の設計課題はいくつかありますが、今回は認証情報のような、サービス間でグローバルに共有されるセッション情報の管理のパターンについて調べたことをまとめてみたいと思います。 背景 HTTP は本質的にステートレスなプロトコルですが、実際の Web サービス上では複数リクエストをまたがって状態を保持するために、
フィードバックを送信 サービスワーカーとのセッション管理 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 Firebase Authは、サービスワーカーを使用して、セッション管理用のFirebaseIDトークンを検出して渡す機能を提供します。これには、次の利点があります。 追加の作業なしで、サーバーからのすべてのHTTPリクエストでIDトークンを渡す機能。追加のラウンドトリップや遅延なしでIDトークンを更新する機能。バックエンドとフロントエンドの同期セッション。 Realtime Database、FirestoreなどのFirebaseサービス、および一部の外部サーバー側リソース(SQLデータベースなど)にアクセスする必要があるアプリケーションは、このソリューションを使用できます。さらに、同じセッションには、サービスワーカー、Webワーカー、または共有ワ
はじめにCloud Spanner では各言語ごとにライブラリが提供されており、アプリケーションはそれを使うことで非常に簡単にデータベースにアクセスすることができます。しかし Cloud Spanner の性能を最大限引き出すためには、クライアント側の設定値をチューニングしたりなど、クライアントライブラリの挙動を知っておくことが不可欠です。そこで本記事では Go 言語のクライアントライブラリ (google-cloud-go) を例に、クライアントライブラリがどのような処理をしているかをじっくりと紐解いてみたいと思います。 全てを一度にカバーすると結構なボリュームになってしまうので、まずは本記事で Spanner の「セッション管理」の部分について説明します。本記事を通して ClientConfig や SessionPoolConfig の各値の意味がわかるようになるのが目標です。 尚こ
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 概要 ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼びます。 また、推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法として、「セッションIDの固定化(Session Fixation)」と呼ばれる攻撃手法があります。悪意ある人があらかじめ用意したセッションIDを、何らかの方法(脚注1)で利用者に送り込み、利用者がこれに気付かずにパスワードを入力するなどしてログインすると起こりうる問題です。悪意のある
【Webセキュリティの教科書①】履歴をもたない「ステートレス」と、その解決策としての「クッキーとセッション管理」 - ペンギン男の生活@気になるのは、海外SEOとYOGAとお天気
こんにちは、ペンギン男です🐧 なかなかセキュリティに関して関心が起こらない 正直、セキュリティに関しては、突っ込んで学習する気はありませんでした。理由として ネットワーク技術に固有の問題というイメージ↓ ネットワーク技術は、とかく覚えることが多い↓ ネットワーク技術は、実機がないと、なかなかピンとくることが難しいというイメージ からです。 一方、通常のセキュリティ対策としては、特にメールの 取り扱いに関しては メール自体を開くな 添付ファイルを開くな URLをクリックするな というもので、それなりに忠実に実行しているつもりですが、これだけセキュリティの重要性 が叫ばれている中で、あまりに、アッサリしていて、どこか歯がゆい思いをしていました(その割には、学習しようという意思はなかなか起こらなかったのですが💦) ネットワーク技術中心というよりWebアプリケーション中心のセキュリティという分
【Webセキュリティ対策②】クッキーによる機動的なセッション管理 - ペンギン男の生活@気になるのは、海外SEOとYOGAとお天気
こんにちは、ペンギン男です🐧 ネットワーク系のエンジニアは特に人手不足だし、プログラマーに寄せられる無理難題も、ネットワーク系だと少なめだとか。 たしかに、セキュリティという本題に入るまでに、抑えておくべき知識が多く、なかなか本題に辿りつけません💦そんな中でも、ワードだけは身近な、クッキーとセッション管理を。中身はあまり知りません💦 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 作者: 徳丸浩 出版社/メーカー: SBクリエイティブ 発売日: 2011/03/01 メディア: 単行本 購入: 119人 クリック: 4,283回 この商品を含むブログ (146件) を見る 出典はアマゾンさん。 【目次】 よく見る「パーセントエンコーディング」 よく見る「クッキー」 クッキーは何をしてくれる?! クッキーによるセッション管理 セッションI Dの保護
以前に別の記事で Laravelのセッション管理をデータベースに変更する手順 をご紹介しましたが、今回はその派生でインメモリデータベースであるRedisを利用する手順をご紹介致します。 基本的にはLaravelの公式ドキュメントに記載されている通りです。 Laravelに、利用するRedisへの接続情報を定義し、セッション管理の設定をRedisに変更します。 https://readouble.com/laravel/5.5/ja/redis.html なお、今回使用するRedisはAWSのElastiCacheで構築します。 https://aws.amazon.com/jp/elasticache/ 手順 ElastiCacheの構築 ElastiCacheの利用手順 の記事でElastiCacheの構築の流れをご紹介しておりますので、流れに沿って構築します。 Predisのインストー
[JJUG CCC 2022 fall] Fargate上のJVMからCPUを認識するまで 〜正しく認識されないCPUの謎を追え〜
PHP: セッション管理の基礎 - Manual
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su
XSSとCSRFの違い表 ■CORS(Cross-Origin Resource Sharing) 追加のHTTPヘッダーを使用して、あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組み。 サーバがブラウザに指示するというところがポイント。 ブラウザ側はCORS制約を検知するとエラーの挙動をとる。なのでPostmanのようにhttpリクエストを投げるようなツールはCORS制約を受けない。あくまでCORS制約を受ける場合においてはサーバ側からのレスポンスを読み取らせないというブラウザに備わる機能。 ※深堀り! CORS対策をブラウザがしているのであればCSRFトークンといった対策をサーバ側はする必要ない?と思ってしまうけど、そうじゃない。 先述したようにCORSはあくまでブラウザの挙動。CSRF対
AWS IAM Identity Center にセッション管理機能が追加されました | DevelopersIO
いわさです。 本日のアップデートで IAM Identity Center にセッション管理機能が追加されたようです。 IAM Identity Center 上で IdP としてユーザー管理を行い、AWS のマルチアカウントを始め様々な外部サービスへのシングルサインオンを実現することが出来ます。 この独自管理するユーザーに対してセッション管理を行うための機能が追加されたという形のようです。 旧 AWS SSO のころからあまり IAM Identity Center に触る機会が少なかったのですが良い機会なのでアップデートの確認を兼ねて触ってみたいと思います。 セッション期間の設定 ひとつめは以下のようにセッション期間を設定することが出来るようになりました。 今までは固定で 8 時間だったようです。 設定メニューの認証タブに「セッション設定」が追加されています。 こちらはユーザーやグルー
こんにちは。 本日はNext.jsでクッキーを使用したセッション管理を実践してみたいと思います。 なお、認証に関連するセッションについては、各認証サービスの公式ドキュメントを参照してください。 まずは、簡単にセッションの概念について説明します。 1.セッションとは?PHPやRubyなどのサーバーサイド言語を扱う場合、セッション管理は当たり前のように行われることです。 セッションは、サーバー側にデータを保存する仕組みです。 簡単に言えば、サーバーがユーザーの情報や状態を記憶しておくためのものです。 しかし、セッションについて理解する前に、ステートについても説明したいと思います。 2.ステートレスとステートフル● ステートレス ステートレスサーバーは、クライアントのセッション状態を保持せず、リクエストに対するレスポンスが一貫して同じです。 ● ステートフル ステートフルサーバーは、クライアント
今回の目標 前回はUserDetailsの実装について説明しました。 【Spring Security はじめました】#5 ユーザーの実装今回はSpring Securityで認証に使用するユーザー情報の実装について説明します。具体的にはUserDetailsインターフェースを実装するクラスを作成します。b1tblog.com2020.02.27 今回はSpring Securityで行えるセッション管理とRemember Meについて説明をします。 セッションの設定 セッションに関する設定はプロパティとしてapplication.yml(properties)に設定します。これはSpring Bootの共通の設定なので、Spring Securityに関係なく設定できます。 プロパティについてはこちらを参考にしてください。 Spring Boot アプリケーションプロパティ設定一覧 -
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife
マイクロサービス時代のセッション管理 - Retty Tech Blog
マイクロサービス時代のセッション管理 - Retty Tech Blog
サービスワーカーとのセッション管理 | Firebase
詳解 google-cloud-go/spanner — セッション管理編
Laravelのセッション管理をRedisに変更
実際困る!クロスドメイン間のセッション管理を考えよう
【これで解決】SPAでセッション管理するならCookieにしよう【CakePHP4編】 | りゅうりんブログ
Next.jsとUpstashでセッション管理をしてみる【Redis】|ryry_w
【Spring Security はじめました】#6 セッション管理
mikoto.oa.gob.jp
gameseijininspirata.com
stop-ouna.jugem.jp
keito1.hatenablog.com
daddyteddy.hatenablog.com
eeyannka.hatenablog.com