Upgrade to Pro — share decks privately, control downloads, hide ads and more …

知っててうれしい HTTP Cookie を使ったセッション管理について

Avatar for greendrop greendrop
December 22, 2024
Technology
1
240

知っててうれしい HTTP Cookie を使ったセッション管理について

Avatar for greendrop

greendrop

December 22, 2024
Tweet

More Decks by greendrop

See All by greendrop
GitHub Actions の設定を少しよくする
Avatar for greendrop greendrop
0
23
リンクからモバイルアプリを起動する技術
Avatar for greendrop greendrop
0
10
知っててうれしい SQL について
Avatar for greendrop greendrop
0
240
知っててうれしいリレーショナルデータベースについて
Avatar for greendrop greendrop
0
200
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
Avatar for greendrop greendrop
0
180
知っててうれしい HTTP について
Avatar for greendrop greendrop
0
260
知っててうれしい HTTP キャッシュについて
Avatar for greendrop greendrop
0
260
知っててうれしい HTTP Cookie について
Avatar for greendrop greendrop
0
240
知っててうれしいデータベースについて
Avatar for greendrop greendrop
0
240

Other Decks in Technology

See All in Technology
CDK CLIで使ってたあの機能、CDK Toolkit Libraryではどうやるの?
Avatar for Makky12 smt7174
4
180
ブロックテーマ時代における、テーマの CSS について考える Toro_Unit / 2025.09.13 @ Shinshu WordPress Meetup
Avatar for Toro_Unit (Hiroshi Urabe) torounit
0
120
なぜテストマネージャの視点が 必要なのか? 〜 一歩先へ進むために 〜
Avatar for Sammy(MoritaMasami) moritamasami
0
220
スマートファクトリーの第一歩 〜AWSマネージドサービスで 実現する予知保全と生成AI活用まで
Avatar for wanda ganota
2
220
今!ソフトウェアエンジニアがハードウェアに手を出すには
Avatar for mackee mackee
12
4.8k
Generative AI Japan 第一回生成AI実践研究会「AI駆動開発の現在地──ブレイクスルーの鍵を握るのはデータ領域」
Avatar for KoheiOgawa shisyu_gaku
0
240
要件定義・デザインフェーズでもAIを活用して、コミュニケーションの密度を高める
Avatar for KazukiHayase kazukihayase
0
110
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
6
380k
大「個人開発サービス」時代に僕たちはどう生きるか
Avatar for Sotaro Karasawa sotarok
20
10k
2025年になってもまだMySQLが好き
Avatar for yoku0825 yoku0825
8
4.8k
共有と分離 - Compose Multiplatform "本番導入" の設計指針
Avatar for Ryo WATANABE error96num
2
530
職種の壁を溶かして開発サイクルを高速に回す~情報透明性と職種越境から考えるAIフレンドリーな職種間連携~
Avatar for daitasu daitasu
0
160

Featured

See All Featured
KATA
Avatar for Megan Lloyd mclloyd
32
14k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
580
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
9.9k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
352
21k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
36
2.5k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.5k

Transcript

  1. 知っててうれしい HTTP Cookie を使った セッション管理について 2024/12/22 1

  2. 目次 セッション管理が必要な理由 セッション管理の仕組み セッション管理のセキュリティ まとめ 目次 2

  3. セッション管理が必要な理由 HTTP はステートレスなプロトコルであるため、リクエスト間の状態 を保持できません。 ステートレスな HTTP において、同じブラウザなどからのリクエスト であることを判断したい場面があります。 例えば、ログインしているユーザーの情報を保持したい場合などで す。

    そのような場合に使われる方法として、HTTP Cookie を使ったセッシ ョン管理があります。 セッション管理が必要な理由 3

  4. セッション管理の仕組み セッション管理は、Cookie によるセッション ID の保存と、サーバー 側でのセッション ID とユーザー情報の紐付けによって実現されます。 セッション ID

    の Cookie の名前は session_id などが一般的ですが、 任意の名前を使うこともできます。 セッション ID の値は、一般的にはランダムな文字列を使い、ユニーク な値となるようにします。 セッション管理の仕組み 4

  5. セッション管理の仕組み セッション管理の仕組み 5

  6. セッション管理の仕組み セッション管理の仕組み 6

  7. セッション管理のセキュリティ セッション ID がわかると、他のユーザーがログインしているユーザー の情報を取得できるため、セッション ID の推測されにくい値にした り、流出を防ぐことが重要です。 流出しないように、Cookie の設定も重要です。

    Domain, Path Secure SameSite セッション管理のセキュリティ 7

  8. まとめ HTTP はステートレスなプロトコルであるため、同じブラウザなど からのリクエストであることを判断したい場合にセッション管理が 必要 セッション ID は、推測されにくいランダムな文字列を使い、ユニー クな値となるようにする セッション

    ID の流出を防ぐために、Cookie の設定も重要 まとめ 8

  9. ご清聴ありがとうございました。 9