Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
[B! jwt] どうして JWT をセッションに使っちゃうわけ? - co3k.org
[go: Go Back, main page]

記事へのコメント60

  • 注目コメント
  • 新着コメント
auth0
ちょっと反論気味の記事書いた。 https://auth0.hatenablog.com/entry/2018/09/21/004131

その他
kwhrtsk
マイクロサービス化しないとメリットは実感できないと思う。簡単に単一のセッションDBを運用できるような規模のうちは、JWTをセッションに使うのは牛刀。

その他
suginoy
Railsユーザーとしては「Ruby on Rails の "デフォルトの" セッション管理機構」と書いてほしいかな。細かいけど。

その他
co3k
※タイトルについて調整中です。お騒がせして申し訳ありません/ id:suginoy そのように修正しました/ id:nakag0711 対策してみました/ id:iktakahiro それらはOIDCですね。罠を踏みやすいという点を除きJWTは問題視してません

その他
knjname
(自分でも)普通にここらへんのことは考えるかなあ。トークンのrevokeについては要件次第。むしろ通信に自動でくっついちゃうcookieが厄介ということも言えるわけで。

その他
snowcrush
なんで全体で鍵を共有する前提なんだろう?ユーザー毎に鍵生成じゃダメなんだっけ。

その他
n314
うーん…結局JWTは何が利点なんだろう。

その他
esodov
「cookie の HttpOnly フラグの保護を受けない」はjwtだからじゃなくてwebストレージだからではないの?/ドメイン跨いで認可するならcookie使えない以上jwtをwebストレージで使うしかないよね。跨がないならセッションでもいい。

その他
ifttt
高菜食べちゃったら怒りそう

その他
iktakahiro
Firebase も Auth0 も Refresh Token + JWT ですけど見解が聞きたい。認証はともかく認可のステップまでまじめに考えるとどっかしらで DB 参照せざるを得なく 'ステートレス' にはならないんですよね。

その他
ksss9
セキュリティ難しい……。

その他
kazkun
社内でJWT使えば便利だし手間もコストも減るよ、という提案があってこの記事を思い出した。これ見てリスクに気づいてもらえれば良いんだが。

その他
k12u
“TLS におけるダウングレード攻撃”

その他
akatakun
サーバ側でのセッション無効化ができない (鍵を無効化し、発行済セッション全体を無効化することはできる)

その他
ono_matope
ようやく読んだ

その他
mkusunok
ID Tokenをセッション管理に使っちゃダメよという話。最近そんな変な実装が増えてるんですかね

その他
luccafort
何故使うのか?に対しては多分便利だからが答えなんだと思うんすよね。ただ問題はここで書かれているセキュリティー的な問題とか鍵の管理の問題とかはあるよね?ということなんだけどそれはJWTに限らないからなあ。

その他
naari_3
「罠があるからそんなに詳しくない人は使わないほうがいいよ」っていう記事だった、タイトルが過激なだけ

その他
infobloga
「そんなこと知らないで使う奴いたのか?」レベルのことしか書いてなくてゲンナリ。JWTでトークンのリフレッシュ対策できない奴は、CookieのCSRF対策もできないだろうから、どっちも使わず寝てたほうが良い

その他
esodov
esodov 「cookie の HttpOnly フラグの保護を受けない」はjwtだからじゃなくてwebストレージだからではないの?/ドメイン跨いで認可するならcookie使えない以上jwtをwebストレージで使うしかないよね。跨がないならセッションでもいい。

2018/09/21 リンク

その他
ry_mizuki
“そこまでしてステートレスに JWT を使わなくてはいけないか? というのは熟考しまくったほうがいい”

その他
taguch1
その発想がない。

その他
auth0
auth0 ちょっと反論気味の記事書いた。 https://auth0.hatenablog.com/entry/2018/09/21/004131

2018/09/21 リンク

その他
braitom
“ (ステートレスな) JWT をセッションに使うことは、セッション ID を用いる伝統的なセッション機構に比べて、あらゆるセキュリティ上のリスクを負うことになります。”

その他
mi_kattun
この問題は参照先の記事も含めて考えたことあるけどCookieとWeb Storageの比較は妥当なのかな?任意のJSを実行可能ならトークンを盗む必要性は薄いのでは。参考: https://postd.cc/web-storage-the-lesser-evil-for-session-tokens/

その他
love0hate
署名による認証の問題・セッションストアとして使うことの問題・JWT固有の問題・現実の実装時の問題は分けた方が議論しやすいと思う。/セッションストアとしては使いたくないのには同意

その他
iktakahiro
iktakahiro Firebase も Auth0 も Refresh Token + JWT ですけど見解が聞きたい。認証はともかく認可のステップまでまじめに考えるとどっかしらで DB 参照せざるを得なく 'ステートレス' にはならないんですよね。

2018/09/20 リンク

その他
tekitekitou
(apiで)user_idしかセッションに保存する情報のないシステムの場合、わざわざjwtをログイン認証に使ったあとuser_idをセッションから引くよりuser_idを直接jwtに入れたらセッションサーバいらなくね?そういう話でない?

その他
PEEE
flaskのデフォルトのセッション管理もこれなので自前で実装したんだよなあ

その他
KoshianX
お、JWT 知らんかった。Firebase とかにも使われてるのかな。今時はバックエンド作らないこともあるだろうし cookie でのセッション管理が難しくなってるのかなあ……。

その他
chintaro3
 GJ

その他
zetta1985
DBが高負荷になりがちで一日に一回必ずセッション切る要件のシステムでJWTによるセッション管理を採用したことがある

その他
nakag0711
なんなんだこのどや顔オーバーレイは。変わったページを作るときはスマホで必ず動作確認すべし/消えた

その他
iakio
なるほど。JWKってそういう風に使うものだったのか

その他
xlc
JWTでググると「セッションデータに使えるぜ!」というQiitaの記事がヒットするからでは?

その他
ledsun
「JWTをセッションストアとして使うと、サーバー側にセッションストアを用意しなく良い。が、cookie storeと比べてメリットはないので、(使えるなら)枯れた既存実装があるcookie store使えばよくね?」という話でいい?

その他
onesplat
Cookieというストレージ&デリバリの問題と、その値の問題は分けて考えた方が良い。クッキーにJWSを詰めるという手もあるので。ちなみにrevokeはブラックリストなのでJWTだとサイズを小さくできるというメリットはある

その他
kwhrtsk
kwhrtsk マイクロサービス化しないとメリットは実感できないと思う。簡単に単一のセッションDBを運用できるような規模のうちは、JWTをセッションに使うのは牛刀。

2018/09/20 リンク

その他
tohokuaiki
最初しか読んでないけど「初カキコ…ども…」のコピペを思い出しました。

その他
mole-studio
メール認証で送りつけるURLに付けるくらいしか使い道が思いつかない

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

どうして JWT をセッションに使っちゃうわけ? - co3k.org

備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ...

ブックマークしたユーザー

すべてのユーザーの
詳細を表示します

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.