sessionとcookieが多分わかる資料

6d64a4d4ab6201f2ce57e3befc687785?s=47 Yoshiki Kobayashi
May 29, 2020
Programming
0
16

 sessionとcookieが多分わかる資料

6d64a4d4ab6201f2ce57e3befc687785?s=128

Yoshiki Kobayashi

May 29, 2020
Tweet

More Decks by Yoshiki Kobayashi

See All by Yoshiki Kobayashi
6d64a4d4ab6201f2ce57e3befc687785?s=48 yoshi0202
0
150
6d64a4d4ab6201f2ce57e3befc687785?s=48 yoshi0202
1
63

Other Decks in Programming

See All in Programming
5b8d20aa7d63c5d391b1c881e1764460?s=48 quasilyte
2
210
Fccbd625997f63e7b251d9725cb905a5?s=48 futo23
2
580
89f41026db2c96853402524fca4a2ff8?s=48 brentchang
0
460
9e9eb825c69d719f2d3c32bdd3bc971e?s=48 atp
2
370
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
1
200
9ff3a9c6cbb2100fba18ad8f4bef0e4f?s=48 yucao24hours
3
590
88ad4f75d7c84fcf560bb6205c52e8c1?s=48 dnskimo
1
140
68ba97b6be908d58de5294261a6d8638?s=48 ca_dp
0
290
Dcd8d2922d2093439e952af63914940e?s=48 ryu236
2
230
Acb6390b6c4b5192f40e10601b63dafc?s=48 twkiiim
0
230
D79e3b0b78ca7027eb61d73028d45ad6?s=48 uchi_k
2
330
249b3122eee454c0a818bfe7851418e4?s=48 fromkk
1
100

Featured

See All Featured
7edec06b5435e0dac07a353b2cc26253?s=48 geeforr
331
29k
E13c31390e0369fcd5972292ce0e7b92?s=48 jnunemaker
PRO
40
4.4k
Dafc4723e9a1c067796c0fec6f509774?s=48 lemiorhan
622
40k
170b760e0147792d0140e59ec78e9893?s=48 eitanlees
108
9.6k
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
91
2.8k
95d9f37115fbb0d13135d0f77132f856?s=48 morganepeng
11
680
C51b39fa3c79ccb99dcb8a076bc98287?s=48 brianwarren
82
4.6k
F57e2136eb9895eb95ff5dc8a1c02677?s=48 zakiwarfel
87
3.2k
Ae14cc4491ac334f9cd23f9f93b4305e?s=48 orderedlist
PRO
326
35k
E14f55d3f939977cecbf51b64ff6f861?s=48 keithpitt
399
20k
E6c6e133e74c3b83f04d2861deaa1c20?s=48 searls
202
35k
78b475797a14c84799063c7cd073962f?s=48 holman
448
130k

Transcript

  1. sessionとcookieが 多分わかる資料 Yoshiki Kobayashi 2020/05/29 1

  2. この資料に書いてあること • sessionのきほん • cookieのきほん • それぞれの利用用途 • 基本的な使い方 2

  3. この資料に書いてないこと • secureとか • CSRFとか • 細かいセキュリティとか • 上手な日本語 3

  4. sessionのきほん の前に… 4

  5. httpの ステートレス通信 について 5

  6. ステートレス通信 って何 6

  7. 通信元の情報が わからない そもそもhttpの通信は 7

  8. 例 僕の情報ください 私の情報! 僕の情報も! Aさん Bさん Cさん 誰が誰か わかんないんだよ なぁ…

    サーバ君 8

  9. sessionを 利用することで… 9

  10. ステートフルに 通信することができる 10

  11. 例 僕の情報ください 私の情報! 僕の情報も! Aさん Bさん Cさん 識別子があるから どこからの通信か わかる〜

    サーバ君 各自の識別子 Aさん:a Bさん:b Cさん:c +Aさんの識別子 [a] +Bさんの識別子 [b] +Cさんの識別子 [c] 11

  12. これが sessionの基本 12

  13. sessionは基本的に サーバ側で管理される 13

  14. でも、、、 14

  15. ユーザを判別する 識別子は どこに保存するの DB?メモリ? それともファイル? 15

  16. 再掲 →これ 僕の情報ください 私の情報! 僕の情報も! Aさん Bさん Cさん 識別子があるから どこからの通信か

    わかる〜 サーバ君 各自の識別子 Aさん:a Bさん:b Cさん:c +Aさんの識別子 [a] +Bさんの識別子 [b] +Cさんの識別子 [c] 16

  17. ここからCookieの話 の前に、、、 17

  18. ぶっちゃけ Cookieて何 18

  19. Cookieとは マジッククッキーの一種であり、RFC 6265な どで定義されたHTTPにおけるウェブサーバ とウェブブラウザ間で状態を管理する通信プ ロトコル、またそこで用いられるウェブブラウ ザに保存された情報のことを指す。 by wikipedia 19

  20. は? 20

  21. ブラウザに 好きなデータが 保存して使えるよ! ってこと つまり簡単に言うと 21

  22. 制限は色々あるけどね 22

  23. Cookieを踏まえて sessionを考えてみると 23

  24. サーバで識別子を払い 出して、ブラウザの Cookieに保存しちゃえ ばいいんじゃね? 24

  25. 具体例 ログイン画面で ログインしてくれ 自分のログイン情報と一緒 にログインするよ ID/PASSWORD Aさん ログイン成功や! Aさんの識別子発行するやで! token/abcdefg

    Aさんはログイン中 というステータスを サーバで管理 返却されたtokenを Aさんのブラウザ Cookieにセット 25

  26. 具体例 Aさん 僕の情報ちょうだい! リクエスト+token/abcdefg Cookieにセットさ れたtokenをリクエ ストに付与 Aさんからの通信やな! Aさんの情報だけ返却するで! Aさんの情報を返却

    token情報からAさ んのログイン状態 を照合 26

  27. 具体例(ログインしていない場合) Aさん 僕の情報ちょうだい! リクエストのみ だれからの通信かわからんな … ログインしてないようだ (例えば)ログイン画面を返却するなど token情報がなく誰 からの通信か

    わからない 27

  28. ステートフル通信 28

  29. まとめると • Cookieとは、ブラウザが持っている好きなデータを貯められるストア • JavaScriptで設定することができる • サーバからのレスポンスで自動で設定することもできる • Sessionとは、サーバ側で保持しているデータ •

    ステートレスであるhttp通信をステートレスにするために用いられる (ことが多い) • SessionにはID(前述したToken)があり、ユーザのCookieで管理する方法、 DBで管理する方法など様々ある 29

  30. 実際に どんな感じで設定されるか 見てみよう 30

  31. 我らのRoomingログイン画面 31

  32. ログインすると・・・ 32

  33. Cookieが設定される ここの[_app_session]っていうのが、Rails側で払い出されたsession_id ※クッキー名[Rooming]はsession用のCookieでは無い 33

  34. コードで言うとこの部分 sessionの中に[userId]っていうキーを持ち、 user.idを代入してる 34

  35. Railsからのレスポンスを見てみよう これがsession_id HttpOnlyをつけて JSから抜き出せないよ うにしてる Set-Cookieっていうヘッ ダーがついたレスポン スが返却されると、自動 でCookieが設定される 35

  36. JSでCookieを取得してみよう HttpOnlyが付いていないCookieに関しては 取得することができている 36

  37. ん? 37

  38. 結局JSから 操作できないんか? 38

  39. JSで取得できないなら axiosでどうやって 送ったらええの? 39

  40. 再掲 Aさん 僕の情報ちょうだい! リクエスト+token/abcdefg Cookieにセットさ れたtokenをリクエ ストに付与 Aさんからの通信やな! Aさんの情報だけ返却するで! Aさんの情報を返却

    token情報からAさ んのログイン状態 を照合 40

  41. これできなくね? 41

  42. 一部の条件下であれば できました 42

  43. コードで言うとこの部分 オプションに[withCredentials]を付与。ヘッダーにAllow-Originを追加 すると、自動でCookie内のsession_idが付与されてリクエストが送信される 43

  44. リクエストするときにCookieが設定される ヘッダーからマイページアイコンを押したときの処理(ユーザID取得関数) 自動的にCookieがリクエストに付与されて、Rails側で処理されてる 44

  45. コードで言うとこの部分 送られてきたCookieの中からsession_idをパースして、 userIdの値からfind_by_idを実行している図 45

  46. 以上が、 サーバで発行したセッションIDがCookieに 保存されて、 クライアントからのリクエストにセッションID が付与されるまでの仕組み 46

  47. 注意 Allow-Origin正しく設定 しないとリクエストもレス ポンスもCookieつかな いよ!!! 47

  48. 今日おぼえたこと! • Cookieとはなんぞや • Sessionとはなんぞや • ステートレス、ステートフルとはなんぞや • 結論どうやって使うんや 48

  49. 終わり!!!!!! 最後に好きな絵文字で終わります To Be Continued … ? 49