colla.me 2023 著作権. 不許複製 プライバシーポリシー
cookie & session & tokenを理解する | colla.me
colla.me 2023 著作権. 不許複製 プライバシーポリシー
Web Storage使用上の注意点
Web Storage(localStorageやsessionStorage)仕様が公開された当初はクッキーに替わる手段として、localStorageを使ったパフォーマンス向上テクニックが多数公開されましたが、パフォーマンスの観点から言えば大容量のファイル保存には向いていません。 先に結論から書くと、従来クッキーで行っていたようなユーザーの状態(アクティブなタブや、ソート順、メニューの開閉など)など軽量の保存には良いが、画像などファイルサイズが大きな物の保存はパフォーマンス低下の原因になり兼ねないので避けたほうが無難です。 localStorageの読込は同期的 ページ読込時にlocalStorageに保存したものが自動的に読み込まれます。 head要素内にscript要素を配置した時と同様に、読込が完了するまでページのレンダリングがブロックされます。 データ保存・取得はメソッドを使う
Web Storage: セッショントークンのマシな手段 ― cookieとセキュリティ面を比較してみる | POSTD
最近、私は「セッショントークンを、cookieの代わりに Web Storage (sessionStorage/localStorage)に保存するのは安全ですか?」ということを尋ねられました。このことについてGoogleで検索したところ、検索結果の上位のほとんどが「Web storageはcookieに比べてかなりセキュリティが弱く、セッショントークンには不向きである」と断言していました。透明性のため、私はこの逆の結論に至った理論的根拠を公に書くことにしました。 Web Storageに関する議論の中核として言われるのは、「Web StorageはsecureフラグやHttpOnlyフラグといったcookie特有の機能をサポートしていないため、攻撃者が容易に盗み取ることが可能」というものです。path属性についても言及されます。私は、これらの機能それぞれについて調べてみました。そして、
JWTを認証用トークンに使う時に調べたこと - Carpe Diem
概要 JWTを認証用トークンに使う時に調べたことをまとめます。 JWTとは JWTはJWSやJWEの構造の中にエンコードして埋め込まれるJSON形式のclaimのセットです。 一般的にはJWS形式のJWTが使われるのでそれを前提に進めます。 JWS形式のJWTは以下のフォーマットです。 {base64エンコードしたheader}.{base64エンコードしたclaims}.{署名} 以下の特徴があります。 発行者が鍵を使ってJSONを署名(or HMAC)し、トークンとして扱う。 暗号化ではないので、JSON の中身は誰でも見られる。 発行者は鍵を使ってメッセージの検証ができるので、改竄を検知できる。 以上の点からトークンとして向いているため、認証トークンとして用いられるようになってきました。 Cookieとの認証フロー比較 ref: Cookies vs Tokens. Getting
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
