JWT(JSON Web Token)でCSRF脆弱性を回避できるワケを調べてみた話 - Qiitaはじめに こんにちは。流通事業部、新卒2年目の@mejilebenです。ガチアサリ難しすぎる。。。 ※本記事はLIFULL Advent Calendar 2017 20日目の記事です。 背景 JWT(JSON Web Token)という技術があるのですが、この技術を使うとCSRF脆弱性の対策にもなるということを知って、いったいどういう理屈なのか調べてみました。 色々な意味でツッコミどころ満載の記事になっていますが、お手柔らかにコメントいただけるとうれしいです。 この記事で言いたいこと JWTは改ざんを検知できる等の便利な仕様であることから、Webアプリケーションにおいて認証や認可の用途で使われている CSRFは悪意のある第三者による偽造されたリクエストも本物とみなして処理をしてしまう脆弱性 ユーザーからのリクエスト時はJWTをAuthorizationヘッダに載せることで、CSRF脆弱性
