Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JWTを保存する場所について

Avatar for ham ham
June 01, 2021
Technology
0
1k

 JWTを保存する場所について

JWTはどこに保存するのがベターか調査
Web Storage or Cookie
Avatar for ham

ham

June 01, 2021
Tweet

More Decks by ham

See All by ham
開発組織における意思決定の実例〜開発優先度・組織構成・ツール導入〜
Avatar for ham ham0215
0
59
エンジニアリングで組織のアウトカムを最速で最大化する!
Avatar for ham ham0215
1
350
アウトカムを最速で最大化できる開発組織にするために
Avatar for ham ham0215
1
88
コード品質向上で得られる効果と実践的取り組み
Avatar for ham ham0215
2
300
開発者体験を定量的に把握する手法と活用事例
Avatar for ham ham0215
1
240
チームトポロジーの4つのチームタイプ
Avatar for ham ham0215
2
40
生成AI活用でエンジニア組織はどう変わったのか?
Avatar for ham ham0215
3
150
メンバーがオーナーシップを発揮しやすいチームづくり
Avatar for ham ham0215
3
520
Platform Engineeringのエッセンスを小規模な開発組織に取り入れた事例紹介
Avatar for ham ham0215
9
1.9k

Other Decks in Technology

See All in Technology
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
Avatar for みのるん minorun365
PRO
15
5.3k
OpenHands🤲にContributeしてみた
Avatar for kotauchisunsun kotauchisunsun
1
460
AWS アーキテクチャ作図入門/aws-architecture-diagram-101
Avatar for Kohei "Max" MATSUSHITA ma2shita
29
11k
製造業からパッケージ製品まで、あらゆる領域をカバー!生成AIを利用したテストシナリオ生成 / 20250627 Suguru Ishii
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
140
CI/CD/IaC 久々に0から環境を作ったらこうなりました
Avatar for Kaz Watanabe kaz29
1
180
BrainPadプログラミングコンテスト記念LT会2025_社内イベント&問題解説
Avatar for BrainPad brainpadpr
1
170
あなたの声を届けよう! 女性エンジニア登壇の意義とアウトプット実践ガイド #wttjp / Call for Your Voice
Avatar for kondoyuko kondoyuko
4
470
Microsoft Build 2025 技術/製品動向 for Microsoft Startup Tech Community
Avatar for Toru Makabe torumakabe
2
290
Delegating the chores of authenticating users to Keycloak
Avatar for Alexander Schwartz ahus1
0
120
rubygem開発で鍛える設計力
Avatar for Tomohiro Hashidate joker1007
2
220
標準技術と独自システムで作る「つらくない」SaaS アカウント管理 / Effortless SaaS Account Management with Standard Technologies & Custom Systems
Avatar for Yuya Takeyama yuyatakeyama
3
1.3k
Snowflake Summit 2025 データエンジニアリング関連新機能紹介 / Snowflake Summit 2025 What's New about Data Engineering
Avatar for t-hiroto tiltmax3
0
310

Featured

See All Featured
Done Done
Avatar for chrislema chrislema
184
16k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
28
5.4k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
700
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
31
1.2k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
46
9.6k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
54
6.4k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
24
1.7k

Transcript

  1. JWTを保存する場所について 2021/6/1 Dev MTG ham

  2. JWTはどこに保存するのがベターか調査 調査したところ、下記を読めばOKって感じなのですが、せっかくなのでサマって みました。 • Where to Store your JWTs –

    Cookies vs HTML5 Web Storage https://stormpath.com/blog/where-to-store-your-jwts-cookies- vs-html5-web-storage • Cookies vs Localstorage for sessions – everything you need to know https://supertokens.io/blog/cookies-vs-localstorage-for-sess ions-everything-you-need-to-know

  3. 最初に結論 Cookie vs Web Storage... Cookieを使おう!! ※もちろん時と場合によりますが

  4. Web Storage • HTML5で追加された機能 • Session StorageとLocal Storageがある ◦ Session

    Storageはブラウザやタブを閉じると消える • 他のドメインからは参照することができない • 同一ドメインからはアクセスできるため、XSSのリスクがある ◦ XSSはメジャーなWebフレームワークを使っていれば対策されていることが多く、脆弱性を 埋め込む可能性は低いが、開発者のミス等で紛れ込む可能性を 0にすることはできない。 • MDN Web Docs https://developer.mozilla.org/ja/docs/Web/API/Window/sessionStorage

  5. Cookie • Web初期から存在しており歴史が長い ◦ サイトで必要な情報の保持や閲覧者のトラッキングなど様々な用途で使われている • RESTful APIでは、Cookieは使わないことと認識されていることが多い が、厳密に言うと「✗Cookieを使わない」→「◦サーバーに状態を保存しな い」が正しい。

    • HttpOnlyをつけた場合、Javascriptから操作できなくなるのでXSSのリ スクがなくなる ◦ Javascriptで操作できなくなるのでサーバーサイドで設定する • CSRFのリスクがある ◦ CORSを設定して同一ドメインのみ許可するようにすれば回避できる https://developer.mozilla.org/ja/docs/Web/HTTP/CORS

  6. Cookie(その他) • Cookie使用同意を求めるポップアップ ◦ 日本では必須ではないがグローバル対応を見据えているならつけるべき ◦ ただウザいだけで利用者はよくわかっていないと思うが https://www.freestyle-entertainment.co.jp/blog/cookie_02/ • Cookieに設定すべきもの

    ◦ Expires ▪ 持続時間 ◦ Secure ▪ httpsの場合のみCookieを送信できる ◦ SameSite ▪ Strictを設定することで同一サイトのみ Cookieが送信される ◦ 名前の接頭詞を”__Host-”にする ▪ Secure、Domain未設定、Path=/の場合のみ送信される • (開発環境でhttpを使いたいときに困るかも・・・ ) • MDN Web Docs https://developer.mozilla.org/ja/docs/Web/HTTP/Cookies

  7. 参照 • クロスサイトスクリプティング(XSS) https://www.shadan-kun.com/blog/measure/1052/#:~:text=%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88% E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%EF%BC%88XSS%EF%BC%89%E3%81%A8,%E5%8F% AF%E8%83%BD%E3%81%AA%E3%82%B5%E3%f82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83%E3%81%A7%E3%81%99%E3%80%82 • クロスサイトリクエストフォージェリ(CSRF) https://www.shadan-kun.com/blog/measure/2640/#:~:text=CSRF%E3%81%A8%E3%81%AF%E3%82%AF%E3%83%AD%E3%82%B9%E3%82 %B5%E3%82%A4%E3%83%88,%E6%96%B9%E3%82%82%E5%A2%97%E3%81%88%E3%81%BE%E3%81%97%E3%81%9F%E3%80%82