Q&A
OpenIdで利用するIDトークンにはJWTのexp項目として有効期限が設定されているかと思うのですが、この有効期限は設定することでどういったメリットが得られるのでしょうか?
無かった場合に、どういった問題が発生しうるか等の実際の事例も含め、具体的に教えて頂けると幸いです。
自分が調べた限りだと、「JWTが漏洩した際の悪用を防げる」という曖昧な回答がほとんどだったのですが、自分の考えでは特に悪用を防ぐ効力は無いと考えています。
理由としては、そもそもこの有効期限を検証することは任意であって、実際には有効期限が切れていた場合でも中の値(ユーザー識別子等)の情報を取り出し、利用(悪用)することは可能なためです。
ご回答の程よろしくお願いいたします。
回答1件
0
有効期限内であればJWTの情報のみで認証状態とできるため、認証・認可サーバーに問い合わせやデータベースアクセスすることなく、低負荷で認証状態の確認が可能というメリットがあります。一方、JWTのみでは厳密なログアウト処理等ができないことから、有効期限は短めに設定することが推奨されます。
有効期限が「ない」場合の仕様解釈、実装は3通り考えられます。
- JWTの期限を無期限とする
- JWTにデフォルトの有効期限(例えば30分)を適用する
- JWTは一回限りのものとして、アクセスのたびにリフレッシュトークンによりIDトークンを再生成する
1.は前者はセキュリティ的に許容できず、3.は負荷が高すぎて現実的でないと思います。2.は実質的に有効期限は「ある」ということですね。
実際には有効期限が切れていた場合でも中の値(ユーザー識別子等)の情報を取り出し、利用(悪用)することは可能なためです
JWTの場合、中身を見ることは可能ですが、ユーザー識別子だけではサーバー側のAPI等は利用できないため、悪用はできません。ユーザー識別子が見えることは、JWTが漏洩している状況では他の方法でも取得可能なので、許容可能な範囲です。
投稿2021/08/05 13:01
総合スコア11705
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。