Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JWTを保存する場所について

9cfde65b598c5e2fe8578307bfbad682?s=47 ham
June 01, 2021
Technology
0
81

 JWTを保存する場所について

JWTはどこに保存するのがベターか調査
Web Storage or Cookie

9cfde65b598c5e2fe8578307bfbad682?s=128

ham

June 01, 2021
Tweet

More Decks by ham

See All by ham
RDB脳からFirestore脳へ
9cfde65b598c5e2fe8578307bfbad682?s=48 ham0215
0
45
GraphQLの関連タイプを辿る脆弱性
9cfde65b598c5e2fe8578307bfbad682?s=48 ham0215
0
37
MySQLのUPDATE文にORDERが指定できると知った件
9cfde65b598c5e2fe8578307bfbad682?s=48 ham0215
0
38
非エンジニアのSQL入門
9cfde65b598c5e2fe8578307bfbad682?s=48 ham0215
0
18
RSpecの実行時間を1/5にした話
9cfde65b598c5e2fe8578307bfbad682?s=48 ham0215
0
490

Other Decks in Technology

See All in Technology
金融領域のマルチプロダクトを効率よく開発・運用するためのシステム基盤と組織設計について / 2022-07-28-multi-product-platform
0251532f4fb413ea1a026efe6eb16b87?s=48 stajima
0
150
EKS AnywhereとIAM Anywhereを組み合わせてみた
28dd434482959f605e535fb81f691326?s=48 regmarmcem
0
360
EC/CRMの自社サービス開発をマネジメントするようになって1年でやってきたこととこれから / devio2022-takano-sho-road-to-good-development-team-management
Fee058832252e72722b8b03073ff6324?s=48 masaru_b_cl
0
430
聊聊 Cgo 的二三事
B3a7c0d5c590642dbce68bce8929a2df?s=48 david74chou
0
330
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
107ea34bd4da51e40f1c30b9ca0c459e?s=48 inomasosan
1
420
私のAWS愛を聞け! ~ここが好きだよStep Functions~ #devio2022
808ce3d41280c085f8bdc27dce7ea8fb?s=48 kongmingstrap
0
290
〇〇みたいな検索作ってと言われたときに考えること / thinking before developing search system like that one
E96c81ea6ec9fc4258a1fba04ae7ca5e?s=48 ryook
5
2.7k
ECS Exec を使った ECS の トラブルシューティング
6378d4cb0e5e7cfabe13d144827a6a28?s=48 dohara
0
130
Simplify Cloud Native Security with Trivy
3f2e97dc4e6a5daaf1cb8a406c533176?s=48 knqyf263
0
670
SBOMを利用したソフトウェアサプライチェーンの保護
45b7a05a1056c10d70bc4caa77d1b2c9?s=48 masahiro331
1
190
DMMプラットフォーム ゼロから始めるKubernetes運用 課題と改善
F91225895fc7411d415604147af75cab?s=48 pospome
0
410
ログ集約基盤をCloudWatchからOpenSearchに変えてみた
098ad475722e3697ec2fba28c8654f9f?s=48 yuhta28
0
130

Featured

See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
A9a491b0fcbe0fbce3d64063a37add99?s=48 rmw
21
1.4k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
3d4519fd34b76fb265fc0237f3792bd4?s=48 danielanewman
212
20k
Principles of Awesome APIs and How to Build Them.
B47b288784fda77a94aeb234ca743c24?s=48 keavy
113
15k
Easily Structure & Communicate Ideas using Wireframe
0c6fd6a08d0f898159cda7cafcacf07f?s=48 afnizarnur
181
15k
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
173
8.6k
Imperfection Machines: The Place of Print at Facebook
7c8469ee8c9e594c65c59b919626c08d?s=48 scottboms
253
12k
Music & Morning Musume
A60068bce2e73de3a37ca9d2dbe36092?s=48 bryan
35
4.3k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
5b9fe87ec1faa67a4599782930f45ec9?s=48 sstephenson
151
13k
Navigating Team Friction
245cee81a9c424266e5e401d844ea881?s=48 lara
175
11k
Git: the NoSQL Database
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
PRO
415
59k
The Invisible Side of Design
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
290
48k
It's Worth the Effort
Ba530e786553390f3fb271848485681c?s=48 3n
172
26k

Transcript

  1. JWTを保存する場所について 2021/6/1 Dev MTG ham

  2. JWTはどこに保存するのがベターか調査 調査したところ、下記を読めばOKって感じなのですが、せっかくなのでサマって みました。 • Where to Store your JWTs –

    Cookies vs HTML5 Web Storage https://stormpath.com/blog/where-to-store-your-jwts-cookies- vs-html5-web-storage • Cookies vs Localstorage for sessions – everything you need to know https://supertokens.io/blog/cookies-vs-localstorage-for-sess ions-everything-you-need-to-know

  3. 最初に結論 Cookie vs Web Storage... Cookieを使おう!! ※もちろん時と場合によりますが

  4. Web Storage • HTML5で追加された機能 • Session StorageとLocal Storageがある ◦ Session

    Storageはブラウザやタブを閉じると消える • 他のドメインからは参照することができない • 同一ドメインからはアクセスできるため、XSSのリスクがある ◦ XSSはメジャーなWebフレームワークを使っていれば対策されていることが多く、脆弱性を 埋め込む可能性は低いが、開発者のミス等で紛れ込む可能性を 0にすることはできない。 • MDN Web Docs https://developer.mozilla.org/ja/docs/Web/API/Window/sessionStorage

  5. Cookie • Web初期から存在しており歴史が長い ◦ サイトで必要な情報の保持や閲覧者のトラッキングなど様々な用途で使われている • RESTful APIでは、Cookieは使わないことと認識されていることが多い が、厳密に言うと「✗Cookieを使わない」→「◦サーバーに状態を保存しな い」が正しい。

    • HttpOnlyをつけた場合、Javascriptから操作できなくなるのでXSSのリ スクがなくなる ◦ Javascriptで操作できなくなるのでサーバーサイドで設定する • CSRFのリスクがある ◦ CORSを設定して同一ドメインのみ許可するようにすれば回避できる https://developer.mozilla.org/ja/docs/Web/HTTP/CORS

  6. Cookie(その他) • Cookie使用同意を求めるポップアップ ◦ 日本では必須ではないがグローバル対応を見据えているならつけるべき ◦ ただウザいだけで利用者はよくわかっていないと思うが https://www.freestyle-entertainment.co.jp/blog/cookie_02/ • Cookieに設定すべきもの

    ◦ Expires ▪ 持続時間 ◦ Secure ▪ httpsの場合のみCookieを送信できる ◦ SameSite ▪ Strictを設定することで同一サイトのみ Cookieが送信される ◦ 名前の接頭詞を”__Host-”にする ▪ Secure、Domain未設定、Path=/の場合のみ送信される • (開発環境でhttpを使いたいときに困るかも・・・ ) • MDN Web Docs https://developer.mozilla.org/ja/docs/Web/HTTP/Cookies

  7. 参照 • クロスサイトスクリプティング(XSS) https://www.shadan-kun.com/blog/measure/1052/#:~:text=%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B5%E3%82%A4%E3%83%88% E3%82%B9%E3%82%AF%E3%83%AA%E3%83%97%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%EF%BC%88XSS%EF%BC%89%E3%81%A8,%E5%8F% AF%E8%83%BD%E3%81%AA%E3%82%B5%E3%f82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83%E3%81%A7%E3%81%99%E3%80%82 • クロスサイトリクエストフォージェリ(CSRF) https://www.shadan-kun.com/blog/measure/2640/#:~:text=CSRF%E3%81%A8%E3%81%AF%E3%82%AF%E3%83%AD%E3%82%B9%E3%82 %B5%E3%82%A4%E3%83%88,%E6%96%B9%E3%82%82%E5%A2%97%E3%81%88%E3%81%BE%E3%81%97%E3%81%9F%E3%80%82