• はてなブックマーク
  • テクノロジー
  • 「JWT を localStorage に置くな」はなぜ言われるのか、Cookie 回帰までの時系列整理
  • Twitterでシェア
  • Facebookでシェア

「JWT を localStorage に置くな」はなぜ言われるのか、Cookie 回帰までの時系列整理

テクノロジー カテゴリーの変更を依頼 記事元:zenn.dev/khale
適切な情報に変更
438users がブックマーク コメント 35

    記事へのコメント35

    • 注目コメント
    • 新着コメント
    ockeghem
    私のポストをマクラに詳しい解説をいただきありがとうございます

    その他
    atico
    徳丸氏もOWASP v5になった際にブラウザストレージへのセッショントークンの保存が容認されたと言及している様に、昨今のSSRの主流化により、Ajaxの呼び出しが不要になったから、またcookie認証が広がりだしただけ。

    その他
    auto_chan
    .netでAがSのPでWebするみたいなオールドなスタイルで生活してると一生クッキー🍪なのでいつのまにか世界が一巡してるのぼけーっと見てるだけ~。連携システムがJWTだとほえーって思いながら付き従うくらいで。

    その他
    k-holy
    長年1人で設計・実装・環境構築・運用しているLAMPおじさんとしては、jQueryすらめんどくせー、SPAとか言われだした時点ですでについて行けてなかったけど、シンプルになって戻ってきてくれるなら何よりwww

    その他
    lainof
    本題とは関係ないのに、途中では業界でも色々なパターンがある話をしてたのに、現在業界全体的でマイクロサービスが当たり前であるかのように話してるのが残念。

    その他
    WildWideWeb
    HotwireやHTMXみたいなJavaScriptをなるべく書かない昔ながらのシンプルなアプローチまで遡ったら面白いな(追記:「昔ながら」ではないと某所で怒られました)。このところ支持者も増えてきてるそうですが。

    その他
    yojik
    BFF等がありサーバサイドに処理があるならCookie一択、SPAならLocalStrage一択(expireの間隔やペイロードに何を含めるかは注意する)。

    その他
    twotiger
    前提としてBFFを使うウェブサイトでの話。BFFないなら別

    その他
    jatta
    非常に,非常に学びのある記事だった

    その他
    KoshianX
    localStorage に置くのは XSS 見つかったときに読まれるからダメというのはわかるが、結局2023年の App Router 登場で BFF に JWT 置くのが普及してうまく回るようになったって感じか。

    その他
    nicht-sein
    後半後で読む

    その他
    twotiger
    twotiger 前提としてBFFを使うウェブサイトでの話。BFFないなら別

    2026/05/28 リンク

    その他
    aarx
    amplifyがlocalstorage使ってるせいもあると思ってる。AWSなら使わざるを得ないがあれは最低のクソ。

    その他
    dekaino
    なるほど わかりやすい

    その他
    toaruR
    つか、クロスドメイン的に厳しいよね?localStorageだと

    その他
    mole-studio
    単純にSSRするとき認証状況がサーバーから見えないからクッキーの方が自然ってずーーーっと前から思ってた

    その他
    hakob
    長すぎてみんなちゃんと読んでるのかな。

    その他
    lainof
    lainof 本題とは関係ないのに、途中では業界でも色々なパターンがある話をしてたのに、現在業界全体的でマイクロサービスが当たり前であるかのように話してるのが残念。

    2026/05/28 リンク

    その他
    infobloga
    ひどい切り取り。JWTをlocalStorageに置くことがセキュリティ的に問題ないということを言っている流れで一歩引いて最近のトレンドを解説した部分。

    その他
    ockeghem
    ockeghem 私のポストをマクラに詳しい解説をいただきありがとうございます

    2026/05/28 リンク

    その他
    sigesaba
    "BFF を立てるなら、クライアント ↔ BFF 間で JWT を使う理由はもはや無くなり、伝統的な Cookie セッションに戻る、と徳丸氏は述べています。"

    その他
    pure_luca
    “BFF を立てるなら、クライアント ↔ BFF 間で JWT を使う理由はもはや無くなり、伝統的な Cookie セッションに戻る”

    その他
    yojik
    yojik BFF等がありサーバサイドに処理があるならCookie一択、SPAならLocalStrage一択(expireの間隔やペイロードに何を含めるかは注意する)。

    2026/05/28 リンク

    その他
    auto_chan
    auto_chan .netでAがSのPでWebするみたいなオールドなスタイルで生活してると一生クッキー🍪なのでいつのまにか世界が一巡してるのぼけーっと見てるだけ~。連携システムがJWTだとほえーって思いながら付き従うくらいで。

    2026/05/28 リンク

    その他
    akasaka_34
    ウェブのトレンドは当てにならんね。

    その他
    k-holy
    k-holy 長年1人で設計・実装・環境構築・運用しているLAMPおじさんとしては、jQueryすらめんどくせー、SPAとか言われだした時点ですでについて行けてなかったけど、シンプルになって戻ってきてくれるなら何よりwww

    2026/05/28 リンク

    その他
    strawberryhunter
    ちゃんと実装すると、Cookieが署名されているくらいの意味しか残らない。クライアントサイドでは署名も活用できないからマジで無駄なんだわ。

    その他
    bfoj
    一周すれば最先端

    その他
    miki3k
    よくまとまっていてわかりやすい

    その他
    mohno
    君のゆく道は果てしなく遠いなあ……。なので、ずっと手前で止まっている(←オイ)

    その他
    WildWideWeb
    WildWideWeb HotwireやHTMXみたいなJavaScriptをなるべく書かない昔ながらのシンプルなアプローチまで遡ったら面白いな(追記:「昔ながら」ではないと某所で怒られました)。このところ支持者も増えてきてるそうですが。

    2026/05/28 リンク

    その他
    maninthemiddle
    人の手で書かれた良いまとめ。

    その他
    lifeisadog
    主にウェブアプリ(SPA)の話です

    その他
    snowcrush
    セッション管理がステートレスであることをまるでメリットかのように騒いでた人たち、何も学んでいないんだなと当時から苦々しく思っていた

    その他
    circled
    SSRが出始めたあたりからフロントエンドが「一周回ってPHP」と言われ出した所以。そして今これ

    その他
    hirorinya
    歴史

    その他
    shoh8
    輪廻 /ブラウザに持たされていた認証情報をBFFやサーバ側に押し返した

    その他
    nguyen-oi
    JWTからCookie回帰の流れ、歴史のサイクルを感じて面白いな

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    「JWT を localStorage に置くな」はなぜ言われるのか、Cookie 回帰までの時系列整理

    はじめに Webセキュリティの第一人者である徳丸浩氏が X で、JWT と Cookie セッションの関係についてこ...

    ブックマークしたユーザー

    • key5n2026/05/29 key5n
    • jatta2026/05/29 jatta
    • ihizon2026/05/28 ihizon
    • Galbo2026/05/28 Galbo
    • learn2026/05/28 learn
    • umaidashi182026/05/28 umaidashi18
    • saicologic2026/05/28 saicologic
    • imash2026/05/28 imash
    • yujiorama2026/05/28 yujiorama
    • hackawazu2026/05/28 hackawazu
    • sekaiiti2026/05/28 sekaiiti
    • KoshianX2026/05/28 KoshianX
    • bouzuya2026/05/28 bouzuya
    • wktk_msum2026/05/28 wktk_msum
    • locke-0092026/05/28 locke-009
    • tnk9622026/05/28 tnk962
    • taichi6962026/05/28 taichi696
    • ishiyu11252026/05/28 ishiyu1125
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2026 Hatena. All Rights Reserved.