http://b.hatena.ne.jp/entry/s/co3k.org/blog/why-do-you-use-jwt-for-session 適当にコメントを書いたら スーパーエンジニアに「そういうことではない」 と厳しい叱責を受けたため、無能の見識を書いてみた。 「聞くは一時の恥、聞かぬは一生の恥」のとおり、 せっかくの機会のため、びしばしセキュリティに関する認識の甘さを指摘してほしい所存 expの期限と任意でセッションが切れないデメリットに対する私見作ったシステムではexpは約1時間でやってしまいました(機密保持契約違反を恐れ多少ぼかしております) 私は無能なのでたぶんユーザーから報告を受けて 確認している間に1時間はかかるからいいやと思ってしまっていた 師はきっとJWT生成直後3秒でユーザーが 「これは、セッションハイジャックか・・・!?」 と気づいて通報 そして師が2秒で