JWT アクセストークンからの個人情報漏洩 - Qiita

内包型アクセストークン、典型例としては JWT アクセストークンは、関連するデータを自身の内部に持っています。下記の条件が成り立つと、論理的な帰結として、そのようなアクセストークンから直接個人情報が漏洩します。 個人情報が含まれている 暗号化されていない ステートレス 意図しない者に盗まれる ここで「ステートレス」とは、「個人情報を保存するためのデータベースレコードを認可サーバー側に持たない」ことを意味しています。 もしもアクセストークンの実装が「内包型／暗号化されていない／ステートレス」であり、また、システムがクライアントアプリケーションに個人情報を提供する必要があるなら、当該システムは、アクセストークンに情報を埋め込むことを避け、個人情報を問い合わせるための Web API を提供すべきです。 ユーザー情報エンドポイント (OIDC Core Section 5.3) はそのような A

[strawberryhunter]

JWTは盗まれると当該サービスへのアクセスもし放題なので、パスワードと同じ。普通に使えば盗まれることは無い。個人情報漏洩よりももっと心配するところがあるという意味で何言ってんだと思った。

[tofu-kun]

リスクの度合いの話か

[ed_v3]

アクセストークンは盗まれる前提で有効期限短くするもんだから懸念は分からんでもない。まぁでもどっちの方法もメリデメあるし内包型でやってるとこもいっぱいあるのでポジショントークなのかなとも思った。

[y-kawaz]

用途に応じて使い分ければ良いだけの話では？と思った。あとそもそもトークン漏洩のシチュエーションはトークンの内容以前の話かと。