セッションストレージなしでログインセッションを維持する仕組みを作ったので、簡単に紹介します。 先日oidc-authというHonoのミドルウェアを実装して3rd-party middlewareとして採用していただきました。これは外部IDプロバイダーで認証を行ない、自前発行したJWTを毎リクエスト検証することで、サーバ側でセッションIDを記録することなくログインセッションを維持するものです。 このセッションストレージ不要という特徴はCDNエッジと親和性が高く、たとえばCloudflare Pagesで提供する静的コンテンツにGoogle認証をつける、といったことをエッジのCPUだけで実現できます。加えて、HonoのポータビリティのおかげでDeno Deployでも同じ仕組みが使えたりします。 個人的には実用性とセキュリティを両立した面白いものが作れたと考えていますが、セキュリティ面で不安を
![Hono上にストレージレスなログインセッション管理を実装してみた - hnwの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/6a0306c372e7ba4db3cc4471efa10508c3cd5916/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fh%2Fhnw%2F20240225%2F20240225214912.png)