JWT・Cookieそれぞれの認証方式のメリデメ比較 - Qiita
JWTとは JSON Web Tokenの略。ジョットと読むらしい。 ざっくりいうとJsonに電子署名を加え、URL-Safeな文字列にしたTokenのこと 正確にいうと、電子署名を使用する方式はJWS(JSON Web Signature)と呼ばれ、別途暗号化を使用するJWE(JSON Web Encryption)も存在する。よく見かける説明はJWS方式のほう。 JWS方式の場合、電子署名であり暗号化ではないため、中身を見ることは可能。但し改ざんはできない、という仕組み。 実際のユースケースで言うと、サーバ側で認証情報が入ったJsonを加工(電子署名を加える等)し、JWTにしたのち、それを認証Tokenとしてクライアントに渡す。クライアントはそのTokenを認証Tokenとして使用する。 仕組みについては調べればたくさん出てくるのでそちらを参照したほうが良いかと思います。 この記事では
Cookieとかセッションとかセキュリティとか - Qiita
概要 社内勉強会でcookieの仕様(主にRFC6265)やセキュリティ(主にCSRFやセッション乗っ取り)について話した内容をまとめます。 但し書き 手っ取り早い説明用に内容を端折ってまとめているため、厳密には正しくない記述が含まれます。 ちゃんと知りたければRFC読みましょう。(幸い日本語訳があってかなり読みやすいのでオススメ) 以下、RFCに沿って「サーバー」と「UA」という単語を使いますが、UAはブラウザと言い換えていいと思います。 curlやプログラマブルなクライアントは、この枠外の挙動をさせることも容易なので対象外です。 またブラウザ毎の実装については、過去の他の方の記事を参照していて自分で試せてはいないため、現在では実装が異なっている可能性があります。 cookieの仕様 cookie(webでの状態管理メカニズム)についての仕様。 RFC6265 今の最新の仕様っぽい。モダ
ふつうのWebサイトのセッションの仕組み | Simple is Beautiful.
こんな感じの構成を想定してます セッションデータ保存用データベース:Redisやmemcacheなど セッションID:Cookieに保存 セッションの仕組み Cookieに保存されたセッションIDとサーバーが持っているセッションIDを比較して一致しているものがあったらユーザーがログイン済みと判断します。 ログインまでのフロー ログインしていない状態ではユーザーはセッションIDを持っていません。このためまずユーザーにフォームなどでIDやパスワードなどでログインを求めます。 認証が成功したらサーバーはセッションIDを作成します。生成するセッションIDは他のユーザーが推測しにくい様に長いランダムなものを使用します。 セッションIDとユーザー情報を紐付ける為に、生成したセッションIDとユーザーIDをペアにしたデータをRedisなどのデータベースに保存します。 生成したセッションIDをCookieに
セッションとクッキーの違い -
WEBシステムを組むうえで何となく使っているsessionとcookieについて 自分でも違いについて理解できていないと思ったので調べてみました。 HTTPを意識する セッション、プロトコルの違いを確認する前に、HTTPプロトコルについて確認が必要になると思う。 まず、HTTPプロトコルは状態を持たないということを最初に認識しておく。 HTTPプロトコルではリクエストを送りレスポンスを受け取った時点で、その通信は終了してしまう。 Google先生に 「セッション クッキー 違い」と検索したとする。 その後、もう一度「セッション クッキー 違い」と検索する。 動きとしては… ユーザー側からGoogle先生に向けて「セッション クッキー 違い」をリクエストし、 Google先生は 「セッション クッキー 違い」に該当するレスポンスを返してくれる。 前者と後者でリクエストとレスポンスの動きに何ら
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Why is a set-cookie header being ignored by browser and the cookies not saved from an Ajax call using fetch?
