Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
知っててうれしい HTTP Cookie を使ったセッション管理について
Search
greendrop
December 22, 2024
Technology
1
160
知っててうれしい HTTP Cookie を使ったセッション管理について
greendrop
December 22, 2024
Tweet
Share
More Decks by greendrop
See All by greendrop
知っててうれしい SQL について
greendrop
0
160
知っててうれしいリレーショナルデータベースについて
greendrop
0
140
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
greendrop
0
140
知っててうれしい HTTP について
greendrop
0
190
知っててうれしい HTTP キャッシュについて
greendrop
0
180
知っててうれしい HTTP Cookie について
greendrop
0
170
知っててうれしいデータベースについて
greendrop
0
180
Other Decks in Technology
See All in Technology
OPENLOGI Company Profile
hr01
0
60k
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager
yuj1osm
0
100
Oracle Database Technology Night #87-1 : Exadata Database Service on Exascale Infrastructure(ExaDB-XS)サービス詳細
oracle4engineer
PRO
1
180
脳波を用いた嗜好マッチングシステム
hokkey621
0
290
DevinでAI AWSエンジニア製造計画 序章 〜CDKを添えて〜/devin-load-to-aws-engineer
tomoki10
0
130
JavaにおけるNull非許容性
skrb
2
2.6k
AWSを活用したIoTにおけるセキュリティ対策のご紹介
kwskyk
0
350
Visualize, Visualize, Visualize and rclone
tomoaki0705
9
83k
【Findy】「正しく」失敗できる チームの作り方 〜リアルな事例から紐解く失敗を恐れない組織とは〜 / A team that can fail correctly by findy
i35_267
5
890
2/18 Making Security Scale: メルカリが考えるセキュリティ戦略 - Coincheck x LayerX x Mercari
jsonf
0
210
AWSアカウントのセキュリティ自動化、どこまで進める? 最適な設計と実践ポイント
yuobayashi
7
620
RayでPHPのデバッグをちょっと快適にする
muno92
PRO
0
190
Featured
See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
The Invisible Side of Design
smashingmag
299
50k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
133
33k
How STYLIGHT went responsive
nonsquared
98
5.4k
Gamification - CAS2011
davidbonilla
80
5.2k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.6k
Building a Scalable Design System with Sketch
lauravandoore
461
33k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
Making the Leap to Tech Lead
cromwellryan
133
9.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
Transcript
知っててうれしい HTTP Cookie を使った セッション管理について 2024/12/22 貞元勝幸 1
目次 セッション管理が必要な理由 セッション管理の仕組み セッション管理のセキュリティ まとめ 目次 2
セッション管理が必要な理由 HTTP はステートレスなプロトコルであるため、リクエスト間の状態 を保持できません。 ステートレスな HTTP において、同じブラウザなどからのリクエスト であることを判断したい場面があります。 例えば、ログインしているユーザーの情報を保持したい場合などで す。
そのような場合に使われる方法として、HTTP Cookie を使ったセッシ ョン管理があります。 セッション管理が必要な理由 3
セッション管理の仕組み セッション管理は、Cookie によるセッション ID の保存と、サーバー 側でのセッション ID とユーザー情報の紐付けによって実現されます。 セッション ID
の Cookie の名前は session_id などが一般的ですが、 任意の名前を使うこともできます。 セッション ID の値は、一般的にはランダムな文字列を使い、ユニーク な値となるようにします。 セッション管理の仕組み 4
セッション管理の仕組み セッション管理の仕組み 5
セッション管理の仕組み セッション管理の仕組み 6
セッション管理のセキュリティ セッション ID がわかると、他のユーザーがログインしているユーザー の情報を取得できるため、セッション ID の推測されにくい値にした り、流出を防ぐことが重要です。 流出しないように、Cookie の設定も重要です。
Domain, Path Secure SameSite セッション管理のセキュリティ 7
まとめ HTTP はステートレスなプロトコルであるため、同じブラウザなど からのリクエストであることを判断したい場合にセッション管理が 必要 セッション ID は、推測されにくいランダムな文字列を使い、ユニー クな値となるようにする セッション
ID の流出を防ぐために、Cookie の設定も重要 まとめ 8
ご清聴ありがとうございました。 9
greendrop
hr01
yuj1osm
oracle4engineer
hokkey621
tomoki10
skrb
kwskyk
tomoaki0705
i35_267
jsonf
yuobayashi
muno92
tanoku
smashingmag
eileencodes
nonsquared
davidbonilla
bluesmoon
lauravandoore
lemiorhan
denniskardys
mongodb
cromwellryan
sstephenson
