Q&A
ステートレスにしたいため、セッションを辞めてJWTを検討しているのですが、
JWTに個人情報を内包しても問題ないでしょうか?
暗号化されているとはいえ、ローカルにデータを持つ以上、それを盗まれたら、
サーバーを経由せずともローカルで時間をかけて検証できるので、いずれは復号化できてしまうと思います。
JWTを利用する際は、機密情報を内包しないことが前提なのでしょうか?
回答1件
0
JWTについてですが、{ヘッダー}.{ペイロード}.{署名}という構造になっています。
このうちヘッダーとペイロードはBase64でエンコードされており、署名はヘッダーで定められた方式で署名されています。
詳しくは以下の表を見てください。
| 構造名 | エンコード方式 | データの内容 |
|---|---|---|
| ヘッダー | Base64 | 署名アルゴリズム, トークンタイプ |
| ペイロード | Base64 | ユーザーIDや有効期限など(任意の情報) |
| 署名 | ヘッダーで指定された署名アルゴリズム | ヘッダーとペイロードの署名情報 |
サーバー側ではヘッダーとペイロードの情報が改ざんされていないか、署名を使って確認します。
確認したら、そのトークンが有効かどうかやどのユーザーかなどをペイロードの中身をみて確認します。
ここで重要なのは、ペイロードのエンコード方式がBase64という可逆的なものであるということです。
署名に使われるハッシュ関数などの非可逆的関数と違い、Base64は誰でも元に戻すことができます。
ですので、万が一トークンが傍受などされて流出した際にサーバーで該当トークンの使用を禁じてもトークンそのものに個人情報満載ですのでそのまま個人情報が流出してしまいます。
よって、JWTトークンには認証に必要な最小限の情報のみ(ユーザーIDなど)を含めるべきです。
詳しくはこちらの記事を参照してみてはいかがでしょうか?
投稿2024/02/27 02:01
総合スコア18
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2024/02/27 02:18