JWTをlocalStorageに置くなと言われる理由を、2005〜Cookie回帰まで年表で解説しBFFやHttpOnly Cookieも整理する
ガラケーの時も個体識別番号を送ってしまう問題とかあったのを思い出した。
徳丸氏もOWASP v5になった際にブラウザストレージへのセッショントークンの保存が容認されたと言及している様に、昨今のSSRの主流化により、Ajaxの呼び出しが不要になったから、またcookie認証が広がり出しただけ。
ついこのあいだ、仕事で議論したとこなので、参加になるわ。
まとめてもらって感謝。歴史の話と今の話があったので理解が進みました
JWTからCookie回帰の流れ、歴史のサイクルを感じて面白いな
輪廻
歴史
SSRが出始めたあたりからフロントエンドが「一周回ってPHP」と言われ出した所以。そして今これ
セッション管理がステートレスであることをまるでメリットかのように騒いでた人たち、何も学んでいないんだなと当時から苦々しく思っていた
主にウェブアプリ(SPA)の話です
「JWT を localStorage に置くな」はなぜ言われるのか、Cookie 回帰までの時系列整理
JWTをlocalStorageに置くなと言われる理由を、2005〜Cookie回帰まで年表で解説しBFFやHttpOnly Cookieも整理する
ガラケーの時も個体識別番号を送ってしまう問題とかあったのを思い出した。
徳丸氏もOWASP v5になった際にブラウザストレージへのセッショントークンの保存が容認されたと言及している様に、昨今のSSRの主流化により、Ajaxの呼び出しが不要になったから、またcookie認証が広がり出しただけ。
ついこのあいだ、仕事で議論したとこなので、参加になるわ。
まとめてもらって感謝。歴史の話と今の話があったので理解が進みました
JWTからCookie回帰の流れ、歴史のサイクルを感じて面白いな
輪廻
歴史
SSRが出始めたあたりからフロントエンドが「一周回ってPHP」と言われ出した所以。そして今これ
セッション管理がステートレスであることをまるでメリットかのように騒いでた人たち、何も学んでいないんだなと当時から苦々しく思っていた
主にウェブアプリ(SPA)の話です