[B! cookie][session] delegateのブックマーク

delegate id:delegate

cookieとsessionに関するdelegateのブックマーク (2)

改めて学ぶセッションベース認証[Goによる実例付き] - Qiita
アプリケーションにおけるユーザー認証は、セキュリティとユーザーエクスペリエンスの核となる部分です。この記事では、セッションベース認証(この記事ではセッション認証とします)の基本を理解し、Go言語(Golang)のを使った具体的な実装方法を解説します。標準ライブラリのみ使用してシンプルに書いてあるのでGo言語を普段使わない人も理解しやすいかと思います。セッション認証とは？セッション認証は、ユーザーが一度ログインすると、その後の各リクエストでユーザーを識別する方法です。通常、セッション認証では以下のステップが含まれます。ユーザーはブラウザを通じてIDとパスワードを含むログインリクエストをサーバーに送信します。サーバーは提供された認証情報を検証し、正しいと判断された場合にセッションを確立します。セッション情報はサーバー内とCookieに保存されます。今回はメモリに保存しますが、実際の
delegate 2024/05/14
golang

cookie

session

あとで読む
リンク
CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある - co3k.org
CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求めるべきパラメータとしての条件はたしかに満たしています。たとえば『安全なウェブサイトの作り方』改訂第6版では以下のように解説されています。 6-(i)-a. (中略) その「hidden パラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。 (中略) この秘密情報は、セッション管理に使用しているセッション ID を用いる方法の他、
delegate 2016/12/13
cookie

Session

CSRF
リンク
1