Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JWTを保存する場所について

9cfde65b598c5e2fe8578307bfbad682?s=47 ham
June 01, 2021
Technology
0
62

 JWTを保存する場所について

JWTはどこに保存するのがベターか調査
Web Storage or Cookie

9cfde65b598c5e2fe8578307bfbad682?s=128

ham

June 01, 2021
Tweet

More Decks by ham

See All by ham
9cfde65b598c5e2fe8578307bfbad682?s=48 ham0215
0
30
9cfde65b598c5e2fe8578307bfbad682?s=48 ham0215
0
32
9cfde65b598c5e2fe8578307bfbad682?s=48 ham0215
0
14
9cfde65b598c5e2fe8578307bfbad682?s=48 ham0215
0
360

Other Decks in Technology

See All in Technology
Cd931bc05e7cee46b9a950a63e47ba4c?s=48 you
0
210
154d77627bc95f4eb226c722023b5168?s=48 a1a
2
320
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
1
960
88f4e84b94fe07cddbd9e6479d689192?s=48 soudai
16
8.4k
Ddbf32a824ff6979227a8cf26d2cc28c?s=48 hajimexxxnakagawa
0
650
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
1
730
140494d272a4d89883a94fdfdb29dea2?s=48 oracle4engineer
PRO
10
13k
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
0
110
7fccfb690a818ed2f3a15fc21d426d5a?s=48 texmeijin
2
110
Ae788ab7d139931493941e42584eb456?s=48 asoviewinc
0
1.5k
8d0803aa4572615f7bce5f5288e6b716?s=48 mochan_tk
0
440
7a29c02251394fc05ebd88c631c562dc?s=48 takufujii
0
130

Featured

See All Featured
91cefdf141106fa10674aae74ce05890?s=48 yeseniaperezcruz
308
33k
B6a8f005f39d23ffc930508ac9da68b9?s=48 vanstee
125
5.2k
1b75d89772b7eea1f6c89fbf362607d9?s=48 moore
129
22k
5f83ef806155b403c3393160ce51f955?s=48 jlugia
218
16k
7559f6cff1f5efc2d210965febd4d71c?s=48 bermonpainter
349
27k
A16eb159db895e3b01d3dc95767ad595?s=48 jonyablonski
40
2k
F383c6a4dc55e331bbe2987b622cee6b?s=48 stephaniewalter
267
11k
433acaea1012b25d97ae66da9b998dad?s=48 malarkey
396
61k
1519587b1a0febb658c36c94f6272b0d?s=48 roundedbygravity
85
8.3k
11c84dff30266b907714802088852677?s=48 jasonvnalue
88
8.5k
F29327647a9cff5c69618bae420792ea?s=48 tenderlove
58
4k
5ce91fa49a613cbc3e20d5f96856473f?s=48 edds
60
9.7k

Transcript

  1. JWTを保存する場所について 2021/6/1 Dev MTG ham

  2. JWTはどこに保存するのがベターか調査 調査したところ、下記を読めばOKって感じなのですが、せっかくなのでサマって みました。 • Where to Store your JWTs –

    Cookies vs HTML5 Web Storage https://stormpath.com/blog/where-to-store-your-jwts-cookies- vs-html5-web-storage • Cookies vs Localstorage for sessions – everything you need to know https://supertokens.io/blog/cookies-vs-localstorage-for-sess ions-everything-you-need-to-know

  3. 最初に結論 Cookie vs Web Storage... Cookieを使おう!! ※もちろん時と場合によりますが

  4. Web Storage • HTML5で追加された機能 • Session StorageとLocal Storageがある ◦ Session

    Storageはブラウザやタブを閉じると消える • 他のドメインからは参照することができない • 同一ドメインからはアクセスできるため、XSSのリスクがある ◦ XSSはメジャーなWebフレームワークを使っていれば対策されていることが多く、脆弱性を 埋め込む可能性は低いが、開発者のミス等で紛れ込む可能性を 0にすることはできない。 • MDN Web Docs https://developer.mozilla.org/ja/docs/Web/API/Window/sessionStorage

  5. Cookie • Web初期から存在しており歴史が長い ◦ サイトで必要な情報の保持や閲覧者のトラッキングなど様々な用途で使われている • RESTful APIでは、Cookieは使わないことと認識されていることが多い が、厳密に言うと「✗Cookieを使わない」→「◦サーバーに状態を保存しな い」が正しい。

    • HttpOnlyをつけた場合、Javascriptから操作できなくなるのでXSSのリ スクがなくなる ◦ Javascriptで操作できなくなるのでサーバーサイドで設定する • CSRFのリスクがある ◦ CORSを設定して同一ドメインのみ許可するようにすれば回避できる https://developer.mozilla.org/ja/docs/Web/HTTP/CORS

  6. Cookie(その他) • Cookie使用同意を求めるポップアップ ◦ 日本では必須ではないがグローバル対応を見据えているならつけるべき ◦ ただウザいだけで利用者はよくわかっていないと思うが https://www.freestyle-entertainment.co.jp/blog/cookie_02/ • Cookieに設定すべきもの

    ◦ Expires ▪ 持続時間 ◦ Secure ▪ httpsの場合のみCookieを送信できる ◦ SameSite ▪ Strictを設定することで同一サイトのみ Cookieが送信される ◦ 名前の接頭詞を”__Host-”にする ▪ Secure、Domain未設定、Path=/の場合のみ送信される • (開発環境でhttpを使いたいときに困るかも・・・ ) • MDN Web Docs https://developer.mozilla.org/ja/docs/Web/HTTP/Cookies

  7. 参照 • クロスサイトスクリプティング(XSS) https://www.shadan-kun.com/blog/measure/1052/#:~:text=%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88% E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%EF%BC%88XSS%EF%BC%89%E3%81%A8,%E5%8F% AF%E8%83%BD%E3%81%AA%E3%82%B5%E3%f82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83%E3%81%A7%E3%81%99%E3%80%82 • クロスサイトリクエストフォージェリ(CSRF) https://www.shadan-kun.com/blog/measure/2640/#:~:text=CSRF%E3%81%A8%E3%81%AF%E3%82%AF%E3%83%AD%E3%82%B9%E3%82 %B5%E3%82%A4%E3%83%88,%E6%96%B9%E3%82%82%E5%A2%97%E3%81%88%E3%81%BE%E3%81%97%E3%81%9F%E3%80%82