ぼくのかんがえたさいきょうのAPI管理(JWT) - Qiita環境 サーバからAPIを叩いてjsonを取ってくるWEBシステム フロントはJavaScript,jQuery,Riotで組まれている。 認証サーバとAPIサーバが同一(マシンもIPもシステムも) 問題点 JWTにjsonはbase64でエンコードされたものであり、暗号化はされていない。 実装によるがLocalStorageに値を入れる事が多いが、LocalStorageはJSから自由に読み込む事が可能なためXSSにより任意のJSが実行された場合は容易にAccess Tokenを盗む事ができる。 ※改ざんされないだけであり、盗まれるたものを利用される恐れはある。 (セッションハイジャック) 解決案 XSS,CSRF対策がしてあるのは大前提 Access TokenをCookieに格納して"HTTP Only"と"Secure"フラグを付ける。 Access Tokenやセッショントークンは
