Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
知っててうれしい HTTP Cookie を使ったセッション管理について
Search
greendrop
December 22, 2024
Technology
1
140
知っててうれしい HTTP Cookie を使ったセッション管理について
greendrop
December 22, 2024
Tweet
Share
More Decks by greendrop
See All by greendrop
知っててうれしい SQL について
greendrop
0
140
知っててうれしいリレーショナルデータベースについて
greendrop
0
130
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
greendrop
0
130
知っててうれしい HTTP について
greendrop
0
160
知っててうれしい HTTP キャッシュについて
greendrop
0
150
知っててうれしい HTTP Cookie について
greendrop
0
150
知っててうれしいデータベースについて
greendrop
0
160
Other Decks in Technology
See All in Technology
20250130_『SUUMO』の裏側!第2弾 ~機械学習エンジニアリング編
recruitengineers
PRO
0
410
ソフトウェア開発現代史:製造業とソフトウェアは本当に共存できていたのか?品質とスピードを問い直す
takabow
15
5.7k
ココナラのセキュリティ組織の体制・役割・今後目指す世界
coconala_engineer
0
230
日本語プログラミングとSpring Bootアプリケーション開発 #kanjava
yusuke
2
370
[2025クラウドガバナンスはこう変わる!マルチアカウント運用のre:Invent最新情報と活用例] re:Invent 2024 から見る AWS マルチアカウントガバナンスのこれまでとこれから
0nihajim
0
110
[JAWS-UG栃木]地方だからできたクラウドネイティブ事例大公開! / jawsug_tochigi_tachibana
biatunky
0
170
【弥生】20250130_AWSマルチアカウント運用セミナー登壇資料
yayoi_dd
1
140
さいきょうのアーキテクチャを生み出すセンスメイキング
jgeem
0
350
Ask! NIKKEIの運用基盤と改善に向けた取り組み / NIKKEI TECH TALK #30
kaitomajima
0
160
生成AIの利活用を加速させるための取り組み「prAIrie-dog」/ Shibuya_AI_1
visional_engineering_and_design
1
110
データ基盤の成長を加速させる:アイスタイルにおける挑戦と教訓
tsuda7
3
500
自動と手動の両輪で開発するデータクレンジング
estie
2
130
Featured
See All Featured
The World Runs on Bad Software
bkeepers
PRO
67
11k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.4k
How to Ace a Technical Interview
jacobian
276
23k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.2k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
1k
Adopting Sorbet at Scale
ufuk
74
9.2k
Making Projects Easy
brettharned
116
6k
Speed Design
sergeychernyshev
25
760
A designer walks into a library…
pauljervisheath
205
24k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.4k
Into the Great Unknown - MozCon
thekraken
34
1.6k
Transcript
知っててうれしい HTTP Cookie を使った セッション管理について 2024/12/22 貞元勝幸 1
目次 セッション管理が必要な理由 セッション管理の仕組み セッション管理のセキュリティ まとめ 目次 2
セッション管理が必要な理由 HTTP はステートレスなプロトコルであるため、リクエスト間の状態 を保持できません。 ステートレスな HTTP において、同じブラウザなどからのリクエスト であることを判断したい場面があります。 例えば、ログインしているユーザーの情報を保持したい場合などで す。
そのような場合に使われる方法として、HTTP Cookie を使ったセッシ ョン管理があります。 セッション管理が必要な理由 3
セッション管理の仕組み セッション管理は、Cookie によるセッション ID の保存と、サーバー 側でのセッション ID とユーザー情報の紐付けによって実現されます。 セッション ID
の Cookie の名前は session_id などが一般的ですが、 任意の名前を使うこともできます。 セッション ID の値は、一般的にはランダムな文字列を使い、ユニーク な値となるようにします。 セッション管理の仕組み 4
セッション管理の仕組み セッション管理の仕組み 5
セッション管理の仕組み セッション管理の仕組み 6
セッション管理のセキュリティ セッション ID がわかると、他のユーザーがログインしているユーザー の情報を取得できるため、セッション ID の推測されにくい値にした り、流出を防ぐことが重要です。 流出しないように、Cookie の設定も重要です。
Domain, Path Secure SameSite セッション管理のセキュリティ 7
まとめ HTTP はステートレスなプロトコルであるため、同じブラウザなど からのリクエストであることを判断したい場合にセッション管理が 必要 セッション ID は、推測されにくいランダムな文字列を使い、ユニー クな値となるようにする セッション
ID の流出を防ぐために、Cookie の設定も重要 まとめ 8
ご清聴ありがとうございました。 9