質問編集履歴
4
誤字
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -2,7 +2,7 @@
|
|
|
2
2
|
1つチュートリアルをこなして感じたのですが、これって本当に良い方法なのでしょうか?
|
|
3
3
|
|
|
4
4
|
[https://ja.wikipedia.org/wiki/JSON_Web_Token](https://ja.wikipedia.org/wiki/JSON_Web_Token)
|
|
5
|
-
|
|
5
|
+
そのチュートリアルは、上記の「使用」にあるような、Tokenを返してlocalStorageに保存させ、認証が必要な問い合わせには Authorization: Bearer <Token> ヘッダーを付けてリクエスト。サーバー側でTokenを判定する...。
|
|
6
6
|
という流れのものでしたので、王道的な方法なのだと思うのですが、私が疑問に感じたのは以下の点です。
|
|
7
7
|
|
|
8
8
|
0. 従来のような、Sessionを使った認証でも問題ないのでは?
|
3
リンク追加
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -13,7 +13,7 @@
|
|
|
13
13
|
Sessionを用いた方法だと、ファイルなりDBなりにSessionの中身(つまり認証情報)を保持することになるが、JWTではPAYLOADの中に認証情報を詰め込むからサーバーが保持しなくて良いから楽だ、みたいな話でしょうか。
|
|
14
14
|
|
|
15
15
|
0. JWT自体の安全性
|
|
16
|
-
https://jwt.io/
|
|
16
|
+
[https://jwt.io/](https://jwt.io/)
|
|
17
17
|
チュートリアルの中で上記URLに発行されたTokenをペーストして、「SIGNATUREを変えて見ましょう。自分がサーバーで設定した値にしないとTokenが一致しませんよね?」みたいなことをやっていたのですが、私が気になったのは「PAYLOADの中身丸見えじゃないか」ということです。
|
|
18
18
|
こんな簡単に中身が見えるものに認証情報を含めてしまって大丈夫なのでしょうか。
|
|
19
19
|
|
2
リンク追加
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -1,7 +1,7 @@
|
|
|
1
1
|
最近SPAアプリの勉強を始めて、ユーザー認証の方法として、JWT(JSON Web Token)があることを知りました。
|
|
2
2
|
1つチュートリアルをこなして感じたのですが、これって本当に良い方法なのでしょうか?
|
|
3
3
|
|
|
4
|
-
https://ja.wikipedia.org/wiki/JSON_Web_Token
|
|
4
|
+
[https://ja.wikipedia.org/wiki/JSON_Web_Token](https://ja.wikipedia.org/wiki/JSON_Web_Token)
|
|
5
5
|
こなしたチュートリアルは、上記の「使用」にあるような、Tokenを返してlocalStorageに保存させ、認証が必要な問い合わせには Authorization: Bearer <Token> ヘッダーを付けてリクエスト。サーバー側でTokenを判定する...。
|
|
6
6
|
という流れのものでしたので、王道的な方法なのだと思うのですが、私が疑問に感じたのは以下の点です。
|
|
7
7
|
|
1
不要な1文を削除
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -15,7 +15,7 @@
|
|
|
15
15
|
0. JWT自体の安全性
|
|
16
16
|
https://jwt.io/
|
|
17
17
|
チュートリアルの中で上記URLに発行されたTokenをペーストして、「SIGNATUREを変えて見ましょう。自分がサーバーで設定した値にしないとTokenが一致しませんよね?」みたいなことをやっていたのですが、私が気になったのは「PAYLOADの中身丸見えじゃないか」ということです。
|
|
18
|
-
|
|
18
|
+
こんな簡単に中身が見えるものに認証情報を含めてしまって大丈夫なのでしょうか。
|
|
19
19
|
|
|
20
20
|
以上3点です。
|
|
21
21
|
よろしくお願いいたします。
|