[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

382users がブックマーク コメント 17

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

"JWT=ステートレス"から一歩踏み出すための考え方

382 users zenn.dev/ritou

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント17

  • 注目コメント
  • 新着コメント
sonots
JWTでもサーバサイドで無効化できた方が良い派だったので、異論ない。JWTにしておくことで部分的にDB参照せずにすんで負荷集中しないし。

その他
odz
JWTにsession id埋め込むくらいなら、単に定期的にsession idをregenerateすれば良いのでは。あと少数の不正トークンに対するバックエンドアクセスコストと、多数の正当トークンに対する署名検証コストの比較はちと微妙。

その他
y-kawaz
スケールするメリットと即時失効の間をとった実装として機密情報の取得や更新系APIの時だけ失効リストをチェックするって実装ならした事ある。こんな感じに> https://twitter.com/kawaz/status/1436724705377980419?s=21

その他
metatrading
改ざん耐性を持つJWTにSessionID入れて事前検証で弾ければ、サーバリソースを過剰に使わんよね。それを冒頭のログアウトの機構と合わせて入れればお得でしょう。という意味と理解。

その他
newnakashima
ログアウト時に即無効化させたいなら本末転倒気味なのを承知の上でインメモリDBにブラックリスト持たせるのが良さそうな気がする

その他
takeag
是非そうしたいのでフレームワークの対応お願いします

その他
daichirata
それ結局 session 引くなら session の文字列でよくないですかみたいな所あるけど、JWTの値を持てる仕様がちょっと便利な時があったりするのは分かる

その他
ms2sato
私多分ちゃんと読めてないのだろけれども、セッションIDのみCookieに保持するRedisストア等に対する優位性が見えていない。勉強したらわかるのかなぁ。

その他
sonots
sonots JWTでもサーバサイドで無効化できた方が良い派だったので、異論ない。JWTにしておくことで部分的にDB参照せずにすんで負荷集中しないし。

2021年09月12日 リンク

その他
kiririmode
セッションIDをjwtに含めることでの改竄耐性強化、期限管理のバックエンド側負荷の削減

その他
komutan1
JWTである必要あるのかな。署名した文字列をCookieに入れるだけではダメ?

その他
metatrading
metatrading 改ざん耐性を持つJWTにSessionID入れて事前検証で弾ければ、サーバリソースを過剰に使わんよね。それを冒頭のログアウトの機構と合わせて入れればお得でしょう。という意味と理解。

2021年09月12日 リンク

その他
y-kawaz
y-kawaz スケールするメリットと即時失効の間をとった実装として機密情報の取得や更新系APIの時だけ失効リストをチェックするって実装ならした事ある。こんな感じに> https://twitter.com/kawaz/status/1436724705377980419?s=21

2021年09月12日 リンク

その他
daichirata
daichirata それ結局 session 引くなら session の文字列でよくないですかみたいな所あるけど、JWTの値を持てる仕様がちょっと便利な時があったりするのは分かる

2021年09月12日 リンク

その他
newnakashima
newnakashima ログアウト時に即無効化させたいなら本末転倒気味なのを承知の上でインメモリDBにブラックリスト持たせるのが良さそうな気がする

2021年09月12日 リンク

その他
chinpokomon_master
JWTでステートフルうるせぇ猫野郎、他に、いますかっていねーか、はは

その他
tumo300-500
`ログアウト時にJWTを無効化できない奴は何をやってもダメ` / 素朴に JWT をセッション管理に使っている実装って実際どのぐらいあるんだろうか

その他
tmurakam
無効化できるならそもそもJWTの意味ないのでは、、、

その他
onesplat
いらねえ

その他
matarillo
わしは「ステートレスでログアウトは幻想」派 https://twitter.com/matarillo/status/1436581137845866501

その他
NOV1975
本質的にステートレスなWebのI/Fをどうにかしてから言って欲しい話ですなあ...

その他
odz
odz JWTにsession id埋め込むくらいなら、単に定期的にsession idをregenerateすれば良いのでは。あと少数の不正トークンに対するバックエンドアクセスコストと、多数の正当トークンに対する署名検証コストの比較はちと微妙。

2021年09月11日 リンク

その他
takeag
takeag 是非そうしたいのでフレームワークの対応お願いします

2021年09月11日 リンク

その他
takezaki
なるほど:"「セッションIDをJWTに内包する」 という考え方です。"

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「"JWT=ステートレス...」が注目されています。

気持ちをシェアしよう

ツイートする

"JWT=ステートレス"から一歩踏み出すための考え方

おはようございます、ritouです。 この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化でき... おはようございます、ritouです。 この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独自エンコード方式(一般的にフレームワークのCookieストアと呼ばれているもの)でも起こり得る 「セッションID vs JWTで内包」 以外にも 「セッションIDをJWTに内包」もあり得る。既存の機能を残しつつ「JWTで武装」する選択肢も考えてみてはどうか。 ステートレスなセッション管理でログアウトの際に文字列自体を無効化できない問題 これは前から言われていますし、駆け出し何とか勢のQiita記事に書かれるぐらいには一般的です。 2

ブックマークしたユーザー

  • kat212024年12月22日 kat21
  • lugecy2024年12月22日 lugecy
  • mei-akiho2024年12月22日 mei-akiho
  • repon2024年12月21日 repon
  • haru-spring2024年12月21日 haru-spring
  • ikosin2024年12月21日 ikosin
  • W53SA2024年12月21日 W53SA
  • tk-11242024年12月21日 tk-1124
  • hdkINO332024年08月30日 hdkINO33
  • enemyoffreedom2024年07月17日 enemyoffreedom
  • nishitki2023年12月28日 nishitki
  • t2y-19792023年10月11日 t2y-1979
  • techtech05212023年04月25日 techtech0521
  • nyamadori2023年03月10日 nyamadori
  • kazokmr2022年09月16日 kazokmr
  • northlight2022年07月24日 northlight
  • hnishi25092022年06月09日 hnishi2509
  • spinningplates2022年05月13日 spinningplates
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /