Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JWTを保存する場所について

ham
June 01, 2021
Technology
0
560

 JWTを保存する場所について

JWTはどこに保存するのがベターか調査
Web Storage or Cookie

ham

June 01, 2021
Tweet

More Decks by ham

See All by ham
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
1
200
CIは5分以内!素早い開発サイクルを支えるCI
ham0215
0
2.6k
現場主導で取り組む継続的な技術的負債の解消
ham0215
4
4k
可視化からはじめる開発生産性向上への道のり
ham0215
0
300
GraphQL データ取得高速化
ham0215
0
260
キーボードのすゝめ.pdf
ham0215
0
110
イージーからシンプルへ 〜プロダクトの成長に合わせたアーキテクチャの変更〜
ham0215
0
3.4k
[After RubyKaigi]クリスマスを待たずに Rust版YJITの実力を検証
ham0215
0
170
RDB脳からFirestore脳へ
ham0215
0
140

Other Decks in Technology

See All in Technology
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
0
170
20240416_devopsdaystokyo
kzkmaeda
1
190
カオナビの利用実績をアウトカムへつなげる旅 / example-of-data-management-startup-in-kaonavi
kaonavi
0
120
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
130
強みを伸ばすキャリアデザイン
yug1224
0
200
ここが嬉しいABAC ここが辛いよABAC #再解説+補足編
masahirokawahara
0
220
コードを書く隙間を見つけて生きていく技術/Findy 思考の現在地
fujiwara3
24
5.2k
コンテナセキュリティの基本と脅威への対策
kyohmizu
3
700
オーナーシップを持つ領域を明確にする
konifar
11
2.6k
〜小さく始めて大きく育てる〜データ分析基盤の開発から活用まで
kniino
0
2k
LLM とプロンプトエンジニアリング/チューターをビルドする / LLM and Prompt Engineering and Building Tutors
ks91
PRO
0
220
なぜ NOT A HOTEL が Web3 に取り組むのか - NOT A HOTEL TECH TALK
ynunokawa
0
160

Featured

See All Featured
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Making Projects Easy
brettharned
108
5.5k
How to name files
jennybc
64
92k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
154
14k
Bootstrapping a Software Product
garrettdimon
PRO
301
110k
Building Effective Engineering Teams - LeadDev
addyosmani
27
1.8k
A designer walks into a library…
pauljervisheath
199
23k
Designing for humans not robots
tammielis
247
25k
Fantastic passwords and where to find them - at NoRuKo
philnash
36
2.5k
Building an army of robots
kneath
300
41k
From Idea to $5000 a Month in 5 Months
shpigford
377
45k
The Invisible Customer
myddelton
114
12k

Transcript

  1. JWTを保存する場所について 2021/6/1 Dev MTG ham

  2. JWTはどこに保存するのがベターか調査 調査したところ、下記を読めばOKって感じなのですが、せっかくなのでサマって みました。 • Where to Store your JWTs –

    Cookies vs HTML5 Web Storage https://stormpath.com/blog/where-to-store-your-jwts-cookies- vs-html5-web-storage • Cookies vs Localstorage for sessions – everything you need to know https://supertokens.io/blog/cookies-vs-localstorage-for-sess ions-everything-you-need-to-know

  3. 最初に結論 Cookie vs Web Storage... Cookieを使おう!! ※もちろん時と場合によりますが

  4. Web Storage • HTML5で追加された機能 • Session StorageとLocal Storageがある ◦ Session

    Storageはブラウザやタブを閉じると消える • 他のドメインからは参照することができない • 同一ドメインからはアクセスできるため、XSSのリスクがある ◦ XSSはメジャーなWebフレームワークを使っていれば対策されていることが多く、脆弱性を 埋め込む可能性は低いが、開発者のミス等で紛れ込む可能性を 0にすることはできない。 • MDN Web Docs https://developer.mozilla.org/ja/docs/Web/API/Window/sessionStorage

  5. Cookie • Web初期から存在しており歴史が長い ◦ サイトで必要な情報の保持や閲覧者のトラッキングなど様々な用途で使われている • RESTful APIでは、Cookieは使わないことと認識されていることが多い が、厳密に言うと「✗Cookieを使わない」→「◦サーバーに状態を保存しな い」が正しい。

    • HttpOnlyをつけた場合、Javascriptから操作できなくなるのでXSSのリ スクがなくなる ◦ Javascriptで操作できなくなるのでサーバーサイドで設定する • CSRFのリスクがある ◦ CORSを設定して同一ドメインのみ許可するようにすれば回避できる https://developer.mozilla.org/ja/docs/Web/HTTP/CORS

  6. Cookie(その他) • Cookie使用同意を求めるポップアップ ◦ 日本では必須ではないがグローバル対応を見据えているならつけるべき ◦ ただウザいだけで利用者はよくわかっていないと思うが https://www.freestyle-entertainment.co.jp/blog/cookie_02/ • Cookieに設定すべきもの

    ◦ Expires ▪ 持続時間 ◦ Secure ▪ httpsの場合のみCookieを送信できる ◦ SameSite ▪ Strictを設定することで同一サイトのみ Cookieが送信される ◦ 名前の接頭詞を”__Host-”にする ▪ Secure、Domain未設定、Path=/の場合のみ送信される • (開発環境でhttpを使いたいときに困るかも・・・ ) • MDN Web Docs https://developer.mozilla.org/ja/docs/Web/HTTP/Cookies

  7. 参照 • クロスサイトスクリプティング(XSS) https://www.shadan-kun.com/blog/measure/1052/#:~:text=%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88% E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%EF%BC%88XSS%EF%BC%89%E3%81%A8,%E5%8F% AF%E8%83%BD%E3%81%AA%E3%82%B5%E3%f82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83%E3%81%A7%E3%81%99%E3%80%82 • クロスサイトリクエストフォージェリ(CSRF) https://www.shadan-kun.com/blog/measure/2640/#:~:text=CSRF%E3%81%A8%E3%81%AF%E3%82%AF%E3%83%AD%E3%82%B9%E3%82 %B5%E3%82%A4%E3%83%88,%E6%96%B9%E3%82%82%E5%A2%97%E3%81%88%E3%81%BE%E3%81%97%E3%81%9F%E3%80%82