JWTのコンテキストで何故かSessionとかCookieとか
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>OAuth 2.0 セキュリティ関連トピック]]
* 目次 [#a778907b]
#contents
*概要 [#hcb60b47]
[[OAuth2/OIDC>OpenID / OAuth / OpenID Connect]]には結構詳...
「PHP Conference Japan 2021」で議論されていたので、まとめ...
*詳細 [#p5b88ca8]
[[Session云々>#iac9439e]]とか[[Cookie云々>#uab049ab]]とか
**Session云々 [#uab049ab]
-これは、Session情報をサーバに持たせるのではなく、~
Cookieに[[JWT]]として持たせるとステートレスに出来るよね?~
と言う主張が出所の話らしいが、どうも、認証機能も込で言及...
ログアウトをどうやって実装するのか?みたいな問題提起がさ...
-...しかし、そんなことはしないのでパス。~
(Webサービスだとスケーラビリティを求められるのでやりたく...
--ステートフルで更新に強いものがステートレスで更新に弱く...
--iatなどを付与すれば、と言う話もあるが、スライディング有...
**Cookie云々 [#iac9439e]
-安全にTokenを取得しても、保存先の問題がある。
-話を聞いていると、どうも、[[Cookie>#t8e2c5fe]] vs [[Loca...
***Cookie [#t8e2c5fe]
-[[LocalStorage>#la4c6878]] より安全という主張もあるがそ...
-[[JWT]]に限らず、認証情報をCookieに保存してAPIアクセスす...
-[[XSS>XSS対策の実装方針]]がアレば、Cookieは盗まれる可能...
-[[CORSのAccess-Control-Allow-Credentialsの設定>CORS (Cro...
[[CSRF(XSRF)>CSRF(XSRF)対策の実装方針]]的な攻撃が成立し易...
--POSTでSameSite=Noneであること。
--[[CSRF(XSRF)>CSRF(XSRF)対策の実装方針]]のチェックが実装...
***LocalStorage [#la4c6878]
-LocalStorageとは[[Web StorageのLocalStorage>https://dotn...
-コチラは、「Authorization: Bearer JWT」に限定された場合...
-危ないと言われているが、[[Cookie>#t8e2c5fe]]よりは安全と...
--[[OAuth2/OIDC>OpenID / OAuth / OpenID Connect]]は、そも...
--Originが異なれば、対象のLocalStorageにアクセスできない。
--SPAの[[XSS>XSS対策の実装方針]]対策は必要になる。
***対策 [#f81b8169]
-セキュアと言われているモノには、SameSiteが前提であるモノ...
CORSをする場合は、結局、アプリをセキュアにして行く必要が...
--[[XSS対策>XSS対策の実装方針]]
--[[CSRF(XSRF)対策>CSRF(XSRF)対策の実装方針]]
-Defence in DepthしてもWeakest Linkになるので、~
大差ない基盤の1層に注力しても全体としてセキュアにならな...
-SPAの[[XSS>XSS対策の実装方針]]のパターンを理解しておく必...
**ステート [#h7489c17]
[[ステートレス>#q9066eea]]・[[ステートフル>#r53594ce]]
***ステートレス [#q9066eea]
[[JWT]]は、そもそもステートレス。
***ステートフル [#r53594ce]
-トークン管理を実装するために、ステートフル化するケースが...
-トークン無効化だけならステートレス(無効化するトークンの...
発行済トークン一覧などを実装する場合、ステートフル(発行...
*参考 [#x320e1e5]
-認証用トークン保存先の第4選択肢としての「Auth0」 - ログ...
https://logmi.jp/tech/articles/324349
-Web Storage: セッショントークンのマシな手段~
cookieとセキュリティ面を比較してみる | POSTD~
https://postd.cc/web-storage-the-lesser-evil-for-session-...
-SPAセキュリティ入門~PHP Conference Japan 2021~
https://www.slideshare.net/ockeghem/phpconf2021spasecurity
**Qiita [#qb9dd735]
-JWTでセッション管理してはいけない - Qiita~
https://qiita.com/hakaicode/items/1d504a728156cf54b3f8
-SPAのログイン認証のベストプラクティスがわからなかったので~
わりと網羅的に研究してみた〜JWT or Session どっち?〜~
https://qiita.com/Hiro-mi/items/18e00060a0f8654f49d6
-SPA認証トークン、Cookieに保存するか?LocalStorageに保存...
https://qiita.com/T-Tokumori/items/b531d2c8612747dabe1e
-認証トークンをWeb Storageに保存して良いか?~
https://qiita.com/some-nyan/items/d51c50de5f0663cf3bea
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>OAuth 2.0 セキュリティ関連トピック]]
* 目次 [#a778907b]
#contents
*概要 [#hcb60b47]
[[OAuth2/OIDC>OpenID / OAuth / OpenID Connect]]には結構詳...
「PHP Conference Japan 2021」で議論されていたので、まとめ...
*詳細 [#p5b88ca8]
[[Session云々>#iac9439e]]とか[[Cookie云々>#uab049ab]]とか
**Session云々 [#uab049ab]
-これは、Session情報をサーバに持たせるのではなく、~
Cookieに[[JWT]]として持たせるとステートレスに出来るよね?~
と言う主張が出所の話らしいが、どうも、認証機能も込で言及...
ログアウトをどうやって実装するのか?みたいな問題提起がさ...
-...しかし、そんなことはしないのでパス。~
(Webサービスだとスケーラビリティを求められるのでやりたく...
--ステートフルで更新に強いものがステートレスで更新に弱く...
--iatなどを付与すれば、と言う話もあるが、スライディング有...
**Cookie云々 [#iac9439e]
-安全にTokenを取得しても、保存先の問題がある。
-話を聞いていると、どうも、[[Cookie>#t8e2c5fe]] vs [[Loca...
***Cookie [#t8e2c5fe]
-[[LocalStorage>#la4c6878]] より安全という主張もあるがそ...
-[[JWT]]に限らず、認証情報をCookieに保存してAPIアクセスす...
-[[XSS>XSS対策の実装方針]]がアレば、Cookieは盗まれる可能...
-[[CORSのAccess-Control-Allow-Credentialsの設定>CORS (Cro...
[[CSRF(XSRF)>CSRF(XSRF)対策の実装方針]]的な攻撃が成立し易...
--POSTでSameSite=Noneであること。
--[[CSRF(XSRF)>CSRF(XSRF)対策の実装方針]]のチェックが実装...
***LocalStorage [#la4c6878]
-LocalStorageとは[[Web StorageのLocalStorage>https://dotn...
-コチラは、「Authorization: Bearer JWT」に限定された場合...
-危ないと言われているが、[[Cookie>#t8e2c5fe]]よりは安全と...
--[[OAuth2/OIDC>OpenID / OAuth / OpenID Connect]]は、そも...
--Originが異なれば、対象のLocalStorageにアクセスできない。
--SPAの[[XSS>XSS対策の実装方針]]対策は必要になる。
***対策 [#f81b8169]
-セキュアと言われているモノには、SameSiteが前提であるモノ...
CORSをする場合は、結局、アプリをセキュアにして行く必要が...
--[[XSS対策>XSS対策の実装方針]]
--[[CSRF(XSRF)対策>CSRF(XSRF)対策の実装方針]]
-Defence in DepthしてもWeakest Linkになるので、~
大差ない基盤の1層に注力しても全体としてセキュアにならな...
-SPAの[[XSS>XSS対策の実装方針]]のパターンを理解しておく必...
**ステート [#h7489c17]
[[ステートレス>#q9066eea]]・[[ステートフル>#r53594ce]]
***ステートレス [#q9066eea]
[[JWT]]は、そもそもステートレス。
***ステートフル [#r53594ce]
-トークン管理を実装するために、ステートフル化するケースが...
-トークン無効化だけならステートレス(無効化するトークンの...
発行済トークン一覧などを実装する場合、ステートフル(発行...
*参考 [#x320e1e5]
-認証用トークン保存先の第4選択肢としての「Auth0」 - ログ...
https://logmi.jp/tech/articles/324349
-Web Storage: セッショントークンのマシな手段~
cookieとセキュリティ面を比較してみる | POSTD~
https://postd.cc/web-storage-the-lesser-evil-for-session-...
-SPAセキュリティ入門~PHP Conference Japan 2021~
https://www.slideshare.net/ockeghem/phpconf2021spasecurity
**Qiita [#qb9dd735]
-JWTでセッション管理してはいけない - Qiita~
https://qiita.com/hakaicode/items/1d504a728156cf54b3f8
-SPAのログイン認証のベストプラクティスがわからなかったので~
わりと網羅的に研究してみた〜JWT or Session どっち?〜~
https://qiita.com/Hiro-mi/items/18e00060a0f8654f49d6
-SPA認証トークン、Cookieに保存するか?LocalStorageに保存...
https://qiita.com/T-Tokumori/items/b531d2c8612747dabe1e
-認証トークンをWeb Storageに保存して良いか?~
https://qiita.com/some-nyan/items/d51c50de5f0663cf3bea
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
