Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
sessionとcookieが多分わかる資料
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Yoshiki Kobayashi
May 29, 2020
Programming
13k
11
Share
sessionとcookieが多分わかる資料
Yoshiki Kobayashi
May 29, 2020
More Decks by Yoshiki Kobayashi
See All by Yoshiki Kobayashi
エンジニアとして生きていくために在学中に多分やっておいた方が良いこと
yoshi0202
1
490
ターミナル操作が多分早くなるtmuxのすゝめ
yoshi0202
0
970
サーバレスアーキテクチャでLINE BOTが多分作れるようになるハンズオン
yoshi0202
0
990
サーバ構築の勘所が多分わかるハンズオン
yoshi0202
0
410
Dockerのことが多分わかるハンズオン
yoshi0202
48
21k
Other Decks in Programming
See All in Programming
TypeScriptだけでAIエージェントを作る フロント・エージェント・インフラのフルスタック実践
har1101
6
1.2k
CSC307 Lecture 17
javiergs
PRO
0
310
OCRを使ってゲームのアイテムをデータ化する
kishikawakatsumi
0
120
DynamoDBには集計系のクエリがないけどなんとかしたい
musan
1
110
「エンジニアインターン、どうやって取った?」準備のリアルを語るLT会 Progate BAR
akiomatic
0
110
柔軟なPDFレイアウトエディタを支える型システム設計 — Discriminated UnionとConditional Typeの実践
minako__ph
4
1.2k
脅威をエンジニアリングの糧にして――現場編 / Turning Threats into Engineering Fuel — Field Edition
nrslib
0
220
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
akihisaikeda
2
210
net-httpのHTTP/2対応について
naruse
0
400
Why Laravel apps break—Mastering the fundamentals to keep them maintainable
kentaroutakeda
1
330
LLM Plugin for Node-REDの利用方法と開発について
404background
0
150
Hive Metastoreを通して学ぶIceberg REST Catalog ― 仕様から実装まで
okumin
0
320
Featured
See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1.2k
We Are The Robots
honzajavorek
0
240
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
440
Crafting Experiences
bethany
1
160
Leo the Paperboy
mayatellez
7
1.8k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9.1k
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
4k
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.3k
Embracing the Ebb and Flow
colly
88
5.1k
The Art of Programming - Codeland 2020
erikaheidi
57
14k
How to train your dragon (web standard)
notwaldorf
97
6.6k
Building a Scalable Design System with Sketch
lauravandoore
463
34k
Transcript
sessionとcookieが 多分わかる資料 Yoshiki Kobayashi 2020/05/29 1
この資料に書いてあること • sessionのきほん • cookieのきほん • それぞれの利用用途 • 基本的な使い方 2
この資料に書いてないこと • secureとか • CSRFとか • 細かいセキュリティとか • 上手な日本語 3
sessionのきほん の前に… 4
httpの ステートレス通信 について 5
ステートレス通信 って何 6
通信元の情報が わからない そもそもhttpの通信は 7
例 僕の情報ください 私の情報! 僕の情報も! Aさん Bさん Cさん 誰が誰か わかんないんだよ なぁ…
サーバ君 8
sessionを 利用することで… 9
ステートフルに 通信することができる 10
例 僕の情報ください 私の情報! 僕の情報も! Aさん Bさん Cさん 識別子があるから どこからの通信か わかる〜
サーバ君 各自の識別子 Aさん:a Bさん:b Cさん:c +Aさんの識別子 [a] +Bさんの識別子 [b] +Cさんの識別子 [c] 11
これが sessionの基本 12
sessionは基本的に サーバ側で管理される 13
でも、、、 14
ユーザを判別する 識別子は どこに保存するの DB?メモリ? それともファイル? 15
再掲 →これ 僕の情報ください 私の情報! 僕の情報も! Aさん Bさん Cさん 識別子があるから どこからの通信か
わかる〜 サーバ君 各自の識別子 Aさん:a Bさん:b Cさん:c +Aさんの識別子 [a] +Bさんの識別子 [b] +Cさんの識別子 [c] 16
ここからCookieの話 の前に、、、 17
ぶっちゃけ Cookieて何 18
Cookieとは マジッククッキーの一種であり、RFC 6265な どで定義されたHTTPにおけるウェブサーバ とウェブブラウザ間で状態を管理する通信プ ロトコル、またそこで用いられるウェブブラウ ザに保存された情報のことを指す。 by wikipedia 19
は? 20
ブラウザに 好きなデータが 保存して使えるよ! ってこと つまり簡単に言うと 21
制限は色々あるけどね 22
Cookieを踏まえて sessionを考えてみると 23
サーバで識別子を払い 出して、ブラウザの Cookieに保存しちゃえ ばいいんじゃね? 24
具体例 ログイン画面で ログインしてくれ 自分のログイン情報と一緒 にログインするよ ID/PASSWORD Aさん ログイン成功や! Aさんの識別子発行するやで! token/abcdefg
Aさんはログイン中 というステータスを サーバで管理 返却されたtokenを Aさんのブラウザ Cookieにセット 25
具体例 Aさん 僕の情報ちょうだい! リクエスト+token/abcdefg Cookieにセットさ れたtokenをリクエ ストに付与 Aさんからの通信やな! Aさんの情報だけ返却するで! Aさんの情報を返却
token情報からAさ んのログイン状態 を照合 26
具体例(ログインしていない場合) Aさん 僕の情報ちょうだい! リクエストのみ だれからの通信かわからんな … ログインしてないようだ (例えば)ログイン画面を返却するなど token情報がなく誰 からの通信か
わからない 27
ステートフル通信 28
まとめると • Cookieとは、ブラウザが持っている好きなデータを貯められるストア • JavaScriptで設定することができる • サーバからのレスポンスで自動で設定することもできる • Sessionとは、サーバ側で保持しているデータ •
ステートレスであるhttp通信をステートレスにするために用いられる (ことが多い) • SessionにはID(前述したToken)があり、ユーザのCookieで管理する方法、 DBで管理する方法など様々ある 29
実際に どんな感じで設定されるか 見てみよう 30
我らのRoomingログイン画面 31
ログインすると・・・ 32
Cookieが設定される ここの[_app_session]っていうのが、Rails側で払い出されたsession_id ※クッキー名[Rooming]はsession用のCookieでは無い 33
コードで言うとこの部分 sessionの中に[userId]っていうキーを持ち、 user.idを代入してる 34
Railsからのレスポンスを見てみよう これがsession_id HttpOnlyをつけて JSから抜き出せないよ うにしてる Set-Cookieっていうヘッ ダーがついたレスポン スが返却されると、自動 でCookieが設定される 35
JSでCookieを取得してみよう HttpOnlyが付いていないCookieに関しては 取得することができている 36
ん? 37
結局JSから 操作できないんか? 38
JSで取得できないなら axiosでどうやって 送ったらええの? 39
再掲 Aさん 僕の情報ちょうだい! リクエスト+token/abcdefg Cookieにセットさ れたtokenをリクエ ストに付与 Aさんからの通信やな! Aさんの情報だけ返却するで! Aさんの情報を返却
token情報からAさ んのログイン状態 を照合 40
これできなくね? 41
一部の条件下であれば できました 42
コードで言うとこの部分 オプションに[withCredentials]を付与。ヘッダーにAllow-Originを追加 すると、自動でCookie内のsession_idが付与されてリクエストが送信される 43
リクエストするときにCookieが設定される ヘッダーからマイページアイコンを押したときの処理(ユーザID取得関数) 自動的にCookieがリクエストに付与されて、Rails側で処理されてる 44
コードで言うとこの部分 送られてきたCookieの中からsession_idをパースして、 userIdの値からfind_by_idを実行している図 45
以上が、 サーバで発行したセッションIDがCookieに 保存されて、 クライアントからのリクエストにセッションID が付与されるまでの仕組み 46
注意 Allow-Origin正しく設定 しないとリクエストもレス ポンスもCookieつかな いよ!!! 47
今日おぼえたこと! • Cookieとはなんぞや • Sessionとはなんぞや • ステートレス、ステートフルとはなんぞや • 結論どうやって使うんや 48
終わり!!!!!! 最後に好きな絵文字で終わります To Be Continued … ? 49
yoshi0202
har1101
javiergs
kishikawakatsumi
musan
akiomatic
minako__ph
nrslib
akihisaikeda
naruse
kentaroutakeda
404background
okumin
tammyeverts
honzajavorek
konakalab
bethany
mayatellez
aleyda
raygrieselhuber
geoffreycrofte
colly
erikaheidi
notwaldorf
lauravandoore
![Cookieが設定される ここの[_app_session]っていうのが、Rails側で払い出されたsession_id ※クッキー名[Rooming]はsession用のCookieでは無い 33](https://files.speakerdeck.com/presentations/acb9c0ae5e4f438880a97b3c29008ed0/slide_32.jpg){kind=link}
![コードで言うとこの部分 sessionの中に[userId]っていうキーを持ち、 user.idを代入してる 34](https://files.speakerdeck.com/presentations/acb9c0ae5e4f438880a97b3c29008ed0/slide_33.jpg){kind=link}
![コードで言うとこの部分 オプションに[withCredentials]を付与。ヘッダーにAllow-Originを追加 すると、自動でCookie内のsession_idが付与されてリクエストが送信される 43](https://files.speakerdeck.com/presentations/acb9c0ae5e4f438880a97b3c29008ed0/slide_42.jpg){kind=link}
