JWTに関してのお伺い

http://b.hatena.ne.jp/entry/s/co3k.org/blog/why-do-you-use-jwt-for-session 適当にコメントを書いたら スーパーエンジニアに「そういうことではない」 と厳しい叱責を受けたため、無能の見識を書いてみた。 「聞くは一時の恥、聞かぬは一生の恥」のとおり、 せっかくの機会のため、びしばしセキュリティに関する認識の甘さを指摘してほしい所存 expの期限と任意でセッションが切れないデメリットに対する私見作ったシステムではexpは約1時間でやってしまいました(機密保持契約違反を恐れ多少ぼかしております) 私は無能なのでたぶんユーザーから報告を受けて 確認している間に1時間はかかるからいいやと思ってしまっていた 師はきっとJWT生成直後3秒でユーザーが 「これは、セッションハイジャックか・・・！？」 と気づいて通報 そして師が2秒で

[co3k]

id:tekitekitou トークンの有効期限を設けていてそれが妥当ならいいのでは？　署名鍵はオフラインでの攻撃が可能なことなどから定期的な鍵交換の必要があります。 TLS サーバ証明書になぜ有効期限があるのか考えてください

[tekitekitou]

id:co3k 特に鍵交換はもし自分の結論があっている場合かなり無駄な工数を発生させる説を流布している危険があるのでは、と危惧しております。よろしくお願いいたします。