YanoRyuichi.com/
Wiki
Blog
GitHub
Sandbox
開始行:
* セッションによる認証とトークンによる認証の比較 [#x83343...
** セッションによる認証とトークンによる認証の違い [#zce33...
- セッションによる認証とは、PHPの標準セッション機能のよう...
- トークンによる認証とは、ウェブサーバでトークンを作り、...
https://dev.to/thecodearcher/what-really-is-the-differenc...
*** セッションやトークンを受け渡しするためにクッキーを使...
- セッションによる認証の場合、多くのシステムではクッキー...
- トークンによる認証の場合、多くのシステムではHTTP Author...
https://medium.com/@sherryhsu/session-vs-token-based-auth...
** セッションによる認証の問題点 [#jc87dda9]
前提:ここではセッション+クッキー、トークン+HTTP Authoriz...
*** スケールしづらい [#s3ab5a1f]
- セッションIDとユーザの紐づけをファイルに保存するので、...
- したがって、memcachedなどで共有DB(ストレージ)を作って...
*** CSRF攻撃に弱い [#p05b3d43]
- CSRF対策のないウェブサイトの場合、悪意のあるウェブサイ...
*** ユーザがクッキーを偽造する危険性がある [#ve90aecb]
- ユーザが他のユーザのセッションIDを知ることができれば、...
https://www.codementor.io/byjg/using-json-web-token-jwt-a...
** トークンによる認証の問題点 [#lf4f9faa]
*** トークンの保存とリクエスト時の送信 [#pa4e8f1f]
- ウェブサーバが発行したトークンをブラウザに保存し、リク...
- 保存場所はクッキーかHTML5 ウェブストレージ(Local Stora...
*** トークンは肥大化する [#b9dc717b]
- セッションによる認証の場合はリクエスト時に送信されるの...
** トークンをLocal Storageに保存するかクッキーに保存する...
*** Local Storageに保存するメリットとデメリット [#kb23ef31]
- 保存容量に余裕があり、トークン肥大化に対応できる
- CSRFを避けられる
- XSSでトークンが漏洩するとセッションハイジャックされる
- リクエスト時にJavaScriptを使ってHTTPヘッダーにトークン...
- ブラウザを閉じるとLocal Storage上のデータは消える
** その他の検討事項 [#lcbd22a3]
*** クッキー使用時のCSRF対策 HttpOnlyフラグ [#ned86b0f]
https://developer.mozilla.org/ja/docs/Web/HTTP/Cookies
** 参考 [#i7e5bef7]
- https://stackoverflow.com/questions/37582444/jwt-vs-coo...
- https://dzone.com/articles/cookies-vs-tokens-the-defini...
終了行:
* セッションによる認証とトークンによる認証の比較 [#x83343...
** セッションによる認証とトークンによる認証の違い [#zce33...
- セッションによる認証とは、PHPの標準セッション機能のよう...
- トークンによる認証とは、ウェブサーバでトークンを作り、...
https://dev.to/thecodearcher/what-really-is-the-differenc...
*** セッションやトークンを受け渡しするためにクッキーを使...
- セッションによる認証の場合、多くのシステムではクッキー...
- トークンによる認証の場合、多くのシステムではHTTP Author...
https://medium.com/@sherryhsu/session-vs-token-based-auth...
** セッションによる認証の問題点 [#jc87dda9]
前提:ここではセッション+クッキー、トークン+HTTP Authoriz...
*** スケールしづらい [#s3ab5a1f]
- セッションIDとユーザの紐づけをファイルに保存するので、...
- したがって、memcachedなどで共有DB(ストレージ)を作って...
*** CSRF攻撃に弱い [#p05b3d43]
- CSRF対策のないウェブサイトの場合、悪意のあるウェブサイ...
*** ユーザがクッキーを偽造する危険性がある [#ve90aecb]
- ユーザが他のユーザのセッションIDを知ることができれば、...
https://www.codementor.io/byjg/using-json-web-token-jwt-a...
** トークンによる認証の問題点 [#lf4f9faa]
*** トークンの保存とリクエスト時の送信 [#pa4e8f1f]
- ウェブサーバが発行したトークンをブラウザに保存し、リク...
- 保存場所はクッキーかHTML5 ウェブストレージ(Local Stora...
*** トークンは肥大化する [#b9dc717b]
- セッションによる認証の場合はリクエスト時に送信されるの...
** トークンをLocal Storageに保存するかクッキーに保存する...
*** Local Storageに保存するメリットとデメリット [#kb23ef31]
- 保存容量に余裕があり、トークン肥大化に対応できる
- CSRFを避けられる
- XSSでトークンが漏洩するとセッションハイジャックされる
- リクエスト時にJavaScriptを使ってHTTPヘッダーにトークン...
- ブラウザを閉じるとLocal Storage上のデータは消える
** その他の検討事項 [#lcbd22a3]
*** クッキー使用時のCSRF対策 HttpOnlyフラグ [#ned86b0f]
https://developer.mozilla.org/ja/docs/Web/HTTP/Cookies
** 参考 [#i7e5bef7]
- https://stackoverflow.com/questions/37582444/jwt-vs-coo...
- https://dzone.com/articles/cookies-vs-tokens-the-defini...
ページ名: