ログインとセッションのしくみを考えたのですが不安です

AngulerJSを使ってＷＥＢアプリケーションを作ろうと思っています。
しかし最初の要である、ログインとセッションのしくみがいまいち理解できていません。

そこで自分で考えて図にまとめてみました。

こんな感じだと思うのですが、あっているでしょうか？

そして実際にコーディングするときは、図のような仕組みを生々しく？　組んでいっていいものでしょうか？

というのも、自分はこれでセキュリティは万全だ！くらいに考えているのですが、他のＷＥＢアプリケーションを作成している人たちはどうやってセキュリティは万全だ！の状態になっているんでしょう。

いろんなサイトをみましたが、いまいち理解できませんでした。

これを素直に組むだけでいいのかなあ、、、。
（もちろん情報をなげるときはＰＯＳＴでＳＳＬ通信だし、セッションＩＤはクッキーに保管するとして）

行動規範の内容に同意します

回答1件

ベストアンサー

セッションだけの話だけではなく、分からない用語が出てきたらまずはどの様な定義なのかを調べてみる。セッションに関しての定義は広く色々な場面で使用されているので、他の言語でわかりやすく開設された記事を参照しても良い。

PHPの記事にはなりますが、こちらがこの質問の回答になる様な記事になっているかと思います。

というのも、自分はこれでセキュリティは万全だ！くらいに考えているのですが、他のＷＥＢアプリケーションを作成している人たちはどうやってセキュリティは万全だ！の状態になっているんでしょう。

セキュリティは万全だ！と思っている人ほど万全じゃない。そもそもセキュリティに完璧なんてないのです。その例としてよく耳にするような大きなウェブアプリケーションをはじめとしたアプリにおいて不正アクセス等による事件のニュースを聞くのです。

これを素直に組むだけでいいのかなあ、、、。

（もちろん情報をなげるときはＰＯＳＴでＳＳＬ通信だし、セッションＩＤはクッキーに保管するとして）

質問なのか独り言なのかはおいといて、この一部分だけ考慮して実装していくのは少し危険な気がします。実際のコードやどの様な対策を行えばいいかについてはもっと詳しい記事やセキュリティについて書かれた著作もありますのでそちらから学び直す必要があるかと思います。
この先質問者がセキュリティについての新たな質問を投稿されるということを加味して言っておくと、ここは無料のQAサイトであって回答を得られたとしてもそこに絶対的な信頼はおいてはいけませんし、回答者に責任はないです。

投稿2020/11/20 17:22

編集2020/11/20 17:24

kai0310

総合スコア2076

hentaiman

2020/11/20 17:33

回答するほどでもないのでちょっと捕捉情報として。視点は色々あるけどセッションの保存（クライアント側のクッキー）についてのみ言うと以下の項目がセキュリティ的に気にする対象です - HttpOnly - Secure - SameSite - 有効期限それぞれを何の為に設定するのか？を考えれば色々見えてくるものもあるかと思われます。