2019/07/12 08:39
truer
はてぶアプリは逆にすぐログアウトしててログインする気なくす/iOSだけど端末によって挙動が変わってるのかな?
2019/07/12 08:54
kura-2
OAuth
2019/07/12 09:09
pongpongpain
リフレッシュは必須ではないけどね。OAuthの仕様上ついてる。アクセストークン発行して有効期限40年でも良い。
2019/07/12 09:37
koogawa
リフレッシュトークンの数に制限をかけているところもあるよね
2019/07/12 09:41
JULY
元のツイートは、今どきのスマホゲームのような、認証そのもの無しでサービスを提供している話で、この記事は、認証後の状態をどう保持しているか、なので、ちょっと違う(多分)。
2019/07/12 09:44
kanayak
認証だけでも、サーバークライアント間ではこれだけ複雑な処理が。 ありがとう、開発者の方々‼️ お身体だけは、ご自愛を
2019/07/12 09:44
anklelab
あとで読む。
2019/07/12 10:28
otihateten3510
ここら辺何度やっても苦手
2019/07/12 10:33
arisane
はてブアプリでログアウトされたことないけどAndroidとiOSで仕様違うのか?
2019/07/12 10:49
memoryalpha
"アクセストークンの有効期限は短いのでリフレッシュトークンという有効期限の長いトークンを合わせて発行し、リフレッシュトークンを使う事で新しいアクセストークンを得られる。 この仕組みでログイン維持"
2019/07/12 11:15
z1h4784
多分手抜きしてアクセストークンの有効期限を長くしているアプリの方が多いと思う
2019/07/12 11:33
zumrud
マストドンで見た
2019/07/12 11:52
taruhachi
リフレッシュトークンは本来、エンドユーザーには渡さずに、信用できるクライアントのサーバ上で隠蔽されている必要があると考えている。渡すのならそもそも通常のトークンの生存期間を伸ばせばいいだけ。
2019/07/12 11:59
mollifier
元ツイートと言ってること合ってないよ。元ツイートは、むしろクレデンシャル情報を勝手に作成、ローカル保存して使っていいでしょって言ってるんだよ。
2019/07/12 12:04
public_key
ユーザー視点だと、めちゃくちゃ長い有効期限のアクセストークンを使ってたり、リフレッシュトークンの代わりにID/passをやりとりしてたとしても気付きにくいという点がありそう。
2019/07/12 12:21
NOV1975
通常の自分のアプリの認証はoauthでやらんよ。クレデンシャル情報の取り扱い方を「人間が考える」のをやめようぜって話。
2019/07/12 12:48
Domino-R
リフレッシュトークンの存在意義が分からない。トークンの有効期間を長くすることも可能なのね。
2019/07/12 12:52
qtamaki
はてぶアプリ一時期狂ったようにログアウトしていたけど、最近は直ってる
2019/07/12 12:57
pptppc2
はてブはiOSだと勝手にログアウトされる。PCのブラウザも同じ。何故かandroidはされない。iOSとPCブラウザは他の場所でアカウントログインするとログアウトされる仕様なのではないかと。
2019/07/12 12:58
renovicxtan
iOSだけど一度も勝手にログアウトさせられた事ない。
2019/07/12 13:04
t-tanaka
一部の暗号には「同一のデータが含まれている暗号文」を大量に集めて分析する攻撃方法が知られている。なので,常に送受信されるアクセストークンとは別に,送受信の頻度の低いリフレッシュトークンをつかう。
2019/07/12 13:16
sakichi33
ID&PASS認証=きっぷ、アクセストークン=全線一日乗車券、リフレッシュトークン=定期券 / 定期券保持者だけが一日乗車券を買えますって感じ?
2019/07/12 13:54
satoruta
ログインし続けてると思ったら突然の強制終了で悲しみ
2019/07/12 14:46
celaeno_w
スマホアプリの時代って言ったって、機種変があるんだから結局「人間が理解できる」クレデンシャル情報が絡むのさ。これを「実装がタコだった」以外の話に出来る画期的な機種変(SIM変)方法、だれか考案してくれよ。
2019/07/12 15:00
kuniku
通信先が生きてる前提。自前でやらないサービスとしては aws cognito などがあり、リフレッシュトークン 1-3650日(10年)
2019/07/12 15:18
h1roto
yahoo系のアプリはログアウトして使ってても勝手にログインするのをやめてくれ
2019/07/12 15:42
yoiIT
iOSで、はてブアプリは時々ログアウトされる。決まったタイミングでもないので理由がよくわらない。裏の仕組みを改修したときとか?
2019/07/12 16:04
frkw2004
なんとなく、ドラクエの復活の呪文を内部に持っててサーバーに繋ぎにいくときに渡す感じ。
2019/07/12 16:36
ykonomin
Cookieの話が最初にこないの時代を感じる
2019/07/12 18:21
paradisemaker
このへんも結構知らない人多い
2019/07/12 18:22
marmot1123
iOSだがはてブアプリログアウトさせられたことほとんどないよ。
2019/07/12 19:09
mugicha1000
面白かったー アプリ屋さんじゃないので本当か知らんけど
2019/07/12 20:30
mirinha20kara
iOSだけど前ははてブアプリログアウトされることなかったのに、いつからか時折ログアウトされるようになった。多いと一日に複数回起こる。
2019/07/12 23:21
hate_nao
iOSはキーチェーン。Androidは…?
2019/07/13 13:09
masa0x80
“する”
2019/07/13 16:55
cubed-l
せっかくだから「認証」の方を調べましょうよ。「スマホアプリの時代」だと何故「authenticationですらない」のか。
2019/07/14 07:19
hiromi_ayase
通常アクセストークンは署名検証等によるステートレス認証だから高速だけど失効が難しいので、有効期限を短くする代わりにちゃんとDB問い合わせで認証するリフレッシュトークンが別途用意されているという認識です。