セッションストレージなしでログインセッションを維持する仕組みを作ったので、簡単に紹介します。 先日oidc-authというHonoのミドルウェアを実装して3rd-party middlewareとして採用していただきました。これは外部IDプロバイダーで認証を行ない、自前発行したJWTを毎リクエスト検証することで、サーバ側でセッションIDを記録することなくログインセッションを維持するものです。 このセッションストレージ不要という特徴はCDNエッジと親和性が高く、たとえばCloudflare Pagesで提供する静的コンテンツにGoogle認証をつける、といったことをエッジのCPUだけで実現できます。加えて、HonoのポータビリティのおかげでDeno Deployでも同じ仕組みが使えたりします。 個人的には実用性とセキュリティを両立した面白いものが作れたと考えていますが、セキュリティ面で不安を
セッション管理の不備について調べたメモ - Qiita
参考情報 「1.4 セッション管理の不備」に記載があります。 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構 産業技術総合研究所 高木浩光: 「CSRF」と「Session Fixation」の諸問題について どちらの版でも「4.6 セッション管理の不備」に記載があります。 「3.1 HTTPとセッション管理」 私は第1版しか持っていないのでそちらを参照しました。 体系的に学ぶ 安全なWebアプリケーションの作り方 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 セッション管理の不備とは セッション管理に不備があるために、セッションIDを悪用して成りすまされてしまう可能性があります。 このような攻撃手法をセッションハイジャックと呼びます。 セッションハイジャックの分類 セッションIDの推測 セッションIDの盗み出し セッションIDの強制/固定化 セッションハ
Dynamo DBによるセッション管理について
DynamoDBの日本語スレッドがなかったため、不適切かもしれませんがRDSのスレッドに投稿させて頂きました。 Dynamo DBでセッション管理をするにあたり、一点疑問が生じたため質問をさせてください。 Dynamo DBは結果整合性のDBであると認識しております。このため、もし、Dynamo DBでセッション管理を行った場合、たとえばユーザーがログイン処理を行ったのにログインされていないと判断されてしまうようなことはないでしょうか。 いくつかのサイトをみてまわり、セッション管理をDynamo DBで行っても問題なさそうな記述は見受けられますがDynamo DBが結果整合性のデータベースである以上、上記のような問題が発生するのではないかと考えております。 もし、このあたりの内容に関して知見のある方がいましたら教えて頂けますと幸いです。
FirebaseのService Workerによるセッション管理をRemix環境下で行う際のまとめです。
インターネットを通じたWEBサービス(例えば、Google, Amazon, Instagram等)を利用する際、「認証」をする機会がたくさんあります。 この記事では基礎的な認証の仕組みのBasic認証とフォーム認証(Cookieを使ったセッション管理の仕組み)についてまとめました。 そもそも認証って? 認証とは、サービスの利用者が確かに本人であることを確認することです。 HTTPで定義される認証方式の一つで、もっとも単純な実装方式です。 冒頭で挙げたような一般的なWEBサービスの認証として利用されることはほとんどありませんが、開発現場において本番リリース前のサイト/サービス等へのアクセスを特定の人だけに限定するための認証としてよく使われます。 Basic認証の仕組み クライアントがBasic認証を必要とするページへのアクセスのリクエストをサーバへ送付する 401 Unauthorized
セッションは通常cookieを通してやりとりしますが、cookieを使えないブラウザ (携帯端末 Docomo Softbank )等でセッション機能を実現させたい場合はセッションIDを URIに埋め込んで使用することになります。 ■ セッションをURLに埋め込んで使用するには以下の記述を行います。 /etc/php.iniに設定する場合(書き換えたら apache をリスタート) session.use_trans_sid = 1 .htaccessに設定する場合 php_flag session.use_trans_sid On phpコードに記述する場合 ini_set('session.use_trans_sid', '1'); ただし 注意: 相対URLでないURLは外部サイトを指していると仮定され、SIDが追加 されません。これは、SIDを外部のサーバに開示することはセキュリテ
Every Qiita #24 のんびり独学初学者投稿 24日目 今回は・・・ cakePHP4のフォーム値をセッション管理した時の備忘録です。 controllerでセッションを準備する cakephpではSessioオブジェクトを使って書き込みや読み込みを行います。$this->getRequest()->getSession()でセッションにアクセスすることができます。 公式ドキュメントではセッションを独自でカスタマイズする方法が載っていますので、近々実装して投稿しようと思います。 public function initialize(): void { $session = $this->session = $this->getRequest()->getSession(); $this->set(compact("session")); } viewでセッションにアクセスするたび
Solid Cache から派生してセッション管理の話 - hidekatsu-izuno 日々の記録
Rails 方面で 37signals が開発した Solid Cache の話が出ていて、読んだらなかなか興味深い話だったのでいろいろ調べていた。 キャッシュには通常 Redis や Memcache のような高速なメモリストアが使われる とはいえ、メモリは高価だし、実際調べてみるとキャッシュの入出力にかかる時間は全体の処理時間のほんの少しに過ぎず、RDBでも十分 むしろ、キャッシュが長期間保存できるようになってより効率的になった Solid Cache では LRU ではなく FIFO なので読み取りアクセスの記録が不要でパフォーマンスも悪くないよ ということのようだ。 当初はセッション・ストアに RDB を使う話かと勘違いしていたのだけど、これはあくまでキャッシュ・ストア限定の話で残念ながらセッション・ストアには使えない。セッション・ストアに使うには読み取りアクセスの記録が不可欠(最
ワードとしては「複数ドメイン間でのセッションの共有」とか「サブドメイン間でセッションの共有」とか「別ドメインでログイン(認可)情報を共有」とかそんな感じになりますかね。 ケースとしては比較的レアかと思うのですが。 今回の場合 ・「複数のゲーム」をひとまとめにしたサイトを作りたい ・各ゲームは個々に実装。ディレクトリじゃなくてドメインで切り分ける想定 ・ログインだけ「1カ所に集約」して、ユーザ登録は1回で片付けられるようにしたい って感じです(プチ宣伝込み)。 あんまり「よくあるニーズ」ではなさそうなんですが。 まぁその分「必要な人には必要だろう」って建前と、ぶっちゃけ「書いておかないと自分が忘れるがな」っていうこのblog本来の目的のために、書いておきます(笑 まず事前準備。 # とりあえず基底のディレクトリ作る mkdir session_test; cd $_ # 2つのドメイン用のデ
SvelteKitにおいてストアを利用したセッション管理を行う svelte-kit-sessions - Qiita
はじめに SvelteKitでのセッション管理のライブラリを探してみると、どうやらCookieにセッション情報を保存するようなものや、ストアがRedisに固定化されているものしかないようだった(探し方が悪いのかもしれないが…)。 個人的にはExpressでの開発経験があり、その時に利用していたexpress-sessionのように自由にストアを選べ、セッション情報はストアに保存するようなセッション管理のモジュールで、SvelteKitでのセッション管理も実現されると望ましいのではと考えていた。 そこで、svelte-kit-sessionsというストアの利用を前提としたセッション管理モジュールを開発・公開してみたので、今回はそれを利用してどのようにセッション管理を実装できるか?を取り上げたいと思う。 svelte-kit-sessionsの概要 svelte-kit-sessionsは、C
LambdaはStatelessアーキテクチャ Lambda関数は通常、ステートレスなアーキテクチャで実装されます。これは、各リクエストが独立しており、Lambda関数間で状態を共有しないことを意味します。この場合、セッション管理はクライアント側で行われることが一般的です。クライアントは、認証トークンやセッションIDを使用して状態を管理し、必要に応じてそれらをリクエストに含めます。 外部のセッション管理サービスを使用する 外部のセッション管理サービス(例えば、Amazon CognitoやAuth0など)を使用して、ユーザーの認証とセッション管理を行うことができます。これらのサービスは、ユーザーの認証情報やセッション情報を安全に管理し、Lambda関数からそれらの情報にアクセスすることができます。 ステートフルなLambda関数 一部のユースケースでは、ステートフルなLambda関数が必要
SPAとAPIが別々のサーバーで稼働している場合、セッション管理をどのように行うかについては慎重に考える必要があります。このブログでは、SPAとAPIがそれぞれ異なるサーバーで稼働し、セッションを管理するためにhttpOnlyかつSecure属性のCookieを使用する方法について説明します。SPAはNext.jsで、API側はCakePHP4で構築されているという設定で解説していきます。 まず、SPAとAPIを異なるサーバーで稼働することによって、より高い拡張性やパフォーマンスを実現することができます。しかし、異なるドメインで稼働するため、セッション管理が必要になります。セッションを管理する方法として、Cookieを使用することが一般的です。ただし、Cookieを正しく設定しないと、悪意のあるユーザーによってCookieが傍受される可能性があります。これを防ぐために、セキュリティのための
Open ID Connectで定義されるセッション管理の仕組みについてまとめる。殴り書きメモ記事。 用語 OpenID Connect OAuth 2.0の認可フローをベースに、追加で、「認証結果」と「属性情報(アイデンティティ情報を提供するエンドポイントへのアクセス認可情報)」をやり取りするためのプロトコル。 Relying Party(RP) OpenID ProviderにID Tokenとユーザー情報を要求するサーバー、SSO対象のアプリケーション。 OpenID Provider(OP) ユーザー認証機能を有し、ユーザー認証時にRelying Partyから要求されたアイデンティティ情報を提供できるエンドポイントを有するサーバー。 ID トークン OPから提供される 認証・認可情報を含むJWT形式のトークン。 セッションの作成・更新(Creating and Updating
ISL Advent Calendar 2020 の9日目の記事です。 本記事ではセッション管理を NoSQL の Redis で行うメリットについて説明し、Redis にセッション管理を任せた Web サーバをプログラミング言語 Rust で実装したいと思っております。 ソースコードは https://github.com/pyama2000/advent2020 にあります。 1. セッション管理 HTTP はステートレスなので状態を持つことができないため、ログイン状態やカートに追加された商品を保持することができません。そこで、ウェブストレージ(LocalStrage, SessionStrage)や Cookie などで状態を保持します。また、React.js や Vue.js などのフレームワークには状態を管理する機能があります。 この記事では Cookie を使った2種類のセッシ
ElastiCacheを使用したセッション管理 ユースケース ・高速なデータアクセスが必要な場合。 ・データが頻繁に変更されるが、一時的なもので永続性が必要ない場合。 ・キャッシュのようにデータをキャッシュする場合。 メリット: ・インメモリデータストアであるため、高速なデータアクセスが可能。 ・データが永続的に保存されるため、再起動後もデータが保持される。 ・キャッシュとしての利用が容易で、既存のアプリケーションに簡単に統合できる。 デメリット ・インメモリデータストアであるため、データがメモリにのみ保存され、データのサイズに制限がある。 ・コストが高くなる可能性があり、大量のデータを保存する場合は注意が必要。 DynamoDBを使用したセッション管理 ユースケース ・データの永続性が必要な場合。 ・データの大規模な保存が必要な場合。 ・セッションデータを他のデータと一緒に格納したい場合
セッション管理方式のお話 - 革命のブログ
どうも、小野です。 アプリケーションによって、要件に合わせたセッション管理は様々ですので、管理方法に正解はありません。 セキュリティは担保できるのか、実装工数はどのくらいなのか?など、要件に応じてベストな選択ができるようある程度の選択肢を持っておく必要があります。 セッション管理はアプリケーションにとって、切り離せない存在なので、毎回どういう方式にするか頭を悩まされます。 今回お話することは、私が今まで開発に携わってきた経験から得た知見です。 参考にしていただけたら幸いです。 サーバによる管理方法 サーバのメモリで管理 DBによる管理 JWT セキュリティ対策 評価 クライアントのよる管理方法 Cookie CSRF対策 LocalStrage XSS対策 評価 おわりに サーバによる管理方法 サーバではセッションID、トークンの発行、検証を行います。 サーバによる管理方法には3つあります
Go言語で理解するセッション管理の7つの具体例
【サイト内のコードはご自由に個人利用・商用利用いただけます】 この記事では、プログラムの基礎知識を前提に話を進めています。 説明のためのコードや、サンプルコードもありますので、もちろん初心者でも理解できるように表現してあります。 本記事のサンプルコードを活用して機能追加、目的を達成できるように作ってありますので、是非ご活用ください。 ※この記事は、一般的にプロフェッショナルの指標とされる『実務経験10,000時間以上』を満たす現役のプログラマチームによって監修されています。 はじめに プログラミングにおいてセッション管理は非常に重要です。 特にウェブアプリケーションでは、セキュリティとパフォーマンスにおいてセッション管理が不可欠です。 本記事では、Go言語を使ったセッション管理の方法を、基礎から応用まで幅広く解説します。 Go言語の特徴を活かしたセッション管理方法を学ぶことで、効率的かつ安
シンボルチェンジャーとセッション管理のシンプルで効果的な手段 レビュー
「価格の天井・底値を完璧に捉える」天底極サインツール!! - インジケーター・電子書籍 - 世界のトレード手法・ツールが集まるマーケットプレイス - GogoJungle
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Hono上にストレージレスなログインセッション管理を実装してみた - hnwの日記
Remix, Firebase Authのセッション管理をService Workerにする
Basic認証とフォーム認証(Cookieを使ったセッション管理)の仕組み - Qiita
cookieを使わずにセッション管理する(ログイン認証が必要な携帯サイト用)|プログラムメモ
CakePHP4 フォーム値をセッション管理する - Qiita
複数ドメインでのセッション管理のポイント - がるの健忘録
Lambdaを使うときのセッション管理方法 - Qiita
【セッション管理】Next.js + CakePHP4【基本編】 | りゅうりんブログ
OpenID Connect セッション管理 概要 - Qiita
Redisでセッション管理を行うRust製のWebサーバ 🦀 - Qiita
Lambdaのセッション管理、ElastiCacheとDynamoDBの比較 - Qiita