Cookie使ったセッション管理も認可だと思うわって話 - r-weblife

こんばんは、ritouです。 OAuthが認可の仕組みだっていうのはだいぶ広まった感ありますね。 でも、なんかまだしっくりこないっていう人いると思います。 その理由の一つとして、Webアプリケーションでよく使われている”Cookieを使ってログインセッションを保持する”しくみ、あれが一般的に認証って言われてるせいじゃないかと思ったりします。 こいつ、OAuthと同じで、途中で認証もしてるけど、全体で見ると認可のしくみじゃねーか的な感じで書いて見ます。 いわゆる”Webアプリケーションの認証フロー”は次のような感じでしょう。 ブラウザはログイン画面を表示 ブラウザは入力されたメアド/パスワードをログイン用URLにを送信 Webサーバーが組み合わせを検証 有効な場合、WebサーバーはSession Cookieを発行 ブラウザはSession Cookieつきで会員情報を表示するURLにアクセ

[kazuhooku]

cookieに認可に関連した情報を含める場合は明確に表題のとおりだと思うけど、実際はcookieには認証情報のみを含めてリクエストの度に認可を行うほうが（クッキー発行後に権限を変えるケースを考えると）実装／運用が楽

[mad-p]

クッキーはid_tokenのようなもので、誰であるかを示しているだけだと思う。結局認証じゃないのかな。どんな操作ができるかはアプリが決めているわけだし

[k-holy]

権限の認可ってセッションに関連付けられた何らかのIDを元にアプリケーションレベルで制御するものでは？

[takezaki]

普段思ってることがわかりやすく書いてある