JWTを使った今どきのSPAの認証について | HiCustomer Lab - HiCustomer Developer's Blog
TL;DR JWTはCookieを使った認証の代わりに使うのはきつい。 コードを静的にホスティングしているSPAの話。 JWTの有効期間を長くすれば危険で、短くすればUXが犠牲になるというトレードオフがある。 AWS AmplifyはlocalStorageにJWTを保存 悪意のあるThird partyライブラリが混ざっていたらJWTを抜かれる。 yarn.lockが依存している全ライブラリを監査することはつらい。 Auth0ではiFrameを活用してメモリ上にJWTを格納できる Auth0いいね😍 まくら Youtubeが大好きなHiCustomerの小田です。ちょっと遅いですが年明け最初のエントリーです。今年もテックブログをよろしくお願いします😎ちなみに、気分がいいので年明けに観ていたYoutubeのエントリーの中で一番おもしろかった動画を紹介します。世界中で有名な「Auld L
SPAでの主要IDaas比較まとめ | ベンチャーで働くWEBエンジニアkomtakiのブログ
# header { "alg": "HS256", "typ": "JWT" } #payload { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } SPA と JWT コードを静的にホスティングしている SPA の場合、MPA(Multiple Page Application)では、httpOnly 属性&sameSite 属性で認証用の cookie をつけるのが王道パターンが使えません。 JWT の有効期間が切れた後に再度ログイン画面を表示する必要があり、JWT が切れるたびにログイン情報を入力させます。 一方 JWT の有効期間を長くすれば危険で、短くすれば UX が犠牲になります。JWT の認証トークンを保存 or 再発行に工夫が必要です。 JWT 保存先の候補 Cookie CGI スクリプトのよう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
