エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
パスワード変更で、そのユーザのHTTPセッションをすべて破棄する - Qiita
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
パスワード変更で、そのユーザのHTTPセッションをすべて破棄する - Qiita
はじめに Webアプリケーションで、**利用者が「パスワード変更」**を行ったら、そのユーザのHTTPセッシ... はじめに Webアプリケーションで、**利用者が「パスワード変更」**を行ったら、そのユーザのHTTPセッションをすべて破棄する。 という実装を一般的なWebアプリケーション・フレームワークではどのように実装するのかという点について考察した。 なぜこれが必要なのか ユーザのHTTPセッションが、不正行為者にハイジャック(乗っ取り)されている場合、利用者はパスワード変更で不正行為者が乗っ取っているHTTPセッションを破棄することができる。 しかしながら、パスワードが漏洩している場合は、不正行為者が先にパスワード変更されると**「おしまい(パスワード変更での2要素認証は必須)」**だが、不正行為者よりも先にパスワード変更ができれば、不正行為をその時点までに止めることもできる。 (セッションハイジャックされた原因がそのままだと、再度ハイジャックされるかもしれないが・・・) 一般的なWebアプリケ

