devise_token_authというトークン認証gemを使用したときに、httponlyなCookieにトークンを保持したり、トークンをリクエストのたびに変更してセキュアにしていることがわかりました。
しかし、いくらセキュアでも万一トークンが盗まれたときの対策は必要だと思います。(毎回トークンが変更されても、一度盗まれたら盗んだ人は有効期限が切れるまで有効なトークンを更新できるようになります)
トークンの有効期限を短くする手もありますが、ユーザーの利便性とトレードオフなのでできれば頼りたくないと思ってます。
ドキュメントやissue,prからその対策が用意されてるかは見つけられませんでした。
devise_token_authでトークンが流出したときの対策があれば教えていただきたいです。
よろしくお願いします。
回答2件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/08/21 14:44