常連

### 実現したいこと

Amazon Cognitoによるセッション管理を理解したいです。
今の私の頭の中のイメージです。

ログイン認証に成功したときにトークン（IDトークン、アクセストークン、更新トークン）を返却します。
これらのトークンはLocalStorage、またはSession Storageに格納されます。

### 発生している問題

補足情報にあるように、ログインに成功するとAmazon Cognitoはセッションを作成してトークンを返却するのですが、そのトークンの中にセッション情報が見当たらないため、本当にセッションが作成されていることを理解できませんでした。
ペイロードに存在するどの項目に注目すれば良いのでしょうか。


### 補足情報
[ユーザープールによる認証](https://docs.aws.amazon.com/ja_jp/cognito/latest/developerguide/authentication.html)
[ユーザープールのトークンの使用](https://docs.aws.amazon.com/ja_jp/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-with-identity-providers.html)

### 追記
qiitaではありますが、Cookieでセッションを保存している旨の記事を発見しました。Storageに保存される認識ですが、Cookieにも保存される...?
[Cognitoのログイン、認可エンドポイント役割、挙動の説明](https://qiita.com/k_hoso/items/3868a6845ceac3e29f44)

Cognitoはセッション管理機能を有しているのでしょうか。

WindowsのPCでVirtualBox上でCentOS7を使っています。

su
su root
などのコマンドでrootユーザーに切り替えができません。

以下2つのユーザーがいます。
root
taro

taroでログイン中にsuコマンドを使うと、
パスワード入力を求めら、rootのパスワードを入れると
su: Authentication failure
と表示されます。
以前はこの手順でrootに切り替わっていました。

exitコマンドで、taroを一旦ログアウト、
VirtualBoxのターミナル上に
localhost login: 
というプロンプトが出てきて
root
と入力しエンター、
Password:
というプロンプトが出てきて
rootのパスワードを入力しエンター。

これでログインできるので
rootのパスワードが間違っている訳ではないです。

確認のために
useradd jiro
passwd jiro
コマンドで新しくjiroというユーザーを作成。

rootでログイン中
su taro
su jiro
どちらも成功。
パスワード入力を求められず、ユーザーが切り替わる。

taroでログイン中
su root
su jiro
どちらも失敗。
パスワード入力を求められ、正しいパスワードを入力したはずなのに
su: Authentication failure

jiroでログイン中
su root
su taro
どちらも失敗。
パスワード入力を求められ、正しいパスワードを入力したはずなのに
su: Authentication failure

rootユーザーに切り替わらないというよりは、suコマンドのパスワード照合処理がうまいくっていないという印象？

suコマンドが使えなくなる現象について、何かご存知でしたらアドバイスをお願いします。

CentOS7、suコマンドでrootにログインできない、パスワードは絶対あっているのになぜ？

## テーマ、知りたいこと

firebaseの認証でgoogleアカウントを使ったログイン機能を実装したいです。

## 背景、状況

Expoで、react native for webを使って開発しています。
ブラウザ上で使用するアプリを作った後にios、android版をリリースする予定のアプリケーションです。
googleアカウントを利用したログイン機能を実装したいのですが、ドキュメントを見てもios、androidのアプリ上での動作を前提としたものしかなく、web上で動作するものの実装方法が見つかりませんでした。
web上での動作を前提とした実装方法が知りたいです。
よろしくお願いいたします。

react native for webでgoogleログイン機能を実装したいです。

Webシステムにおいて、認証トークンをLocalStorageとCookieを併用することで、それぞれのデメリットを補う認証を実現することはできないのでしょうか？

### 背景
時折、認証トークンの保存先として最適な場所はLocalStorageかCookieかという論争を見かけます。
どちらもメリット・デメリットがあるようですが、
両方を併用することでそれぞれのデメリットを補い合うことはできないかと疑問に思いました。

### 併用した場合の認証方式
・ログインが成功したら、サーバー側で2種類の認証トークンを発行
・一方のトークンはCookieに設定し、もう一方はレスポンスで返してJavaScriptによりLocalStorageに保存
・LocalStorageのトークンはリクエスト時にAuthorizationヘッダーに設定
・サーバー側ではAuthorizationヘッダーのトークンとクッキーのトークンをそれぞれ検証

### 期待される挙動
・LocalStorageのトークンが盗まれたとしても、Cookieのトークンは盗めないため認証は通らない
・CSRF攻撃が行われた場合でも、Authorizationヘッダーがないため、認証ではじかれ、成立しない

###

有効な手段であれば既に使われているとは思いますので、セキュリティ対策として無意味であるか、デメリットの方が大きいかと思います。
後学のためにも、皆様のご意見をお聞かせ頂きたく思います。

Webシステムにおける認証トークンの保存先（LocalStrage・Cookie）と認証方式について

WEB.ASPX でサイトを構築して運用しています。

正しいユーザのみに公開したサイトなので、
web.config の設定で、サイトアクセス時にはまず　login.aspx を通るようにしています。
 [ web.config の設定 ]
<authentication mode="Forms">
	<forms loginUrl="login.aspx"/>
</authentication>

login.aspx にて正しいID/PASS を入力して
サイト内のページ page1.aspx , page2.aspx ,,, といくつかのページに移動した後に 
logout.aspx にてログアウトします。
その後に、ブラウザのURL欄に　直接　page1.aspx と入力してアクセスすると、login.aspx にリダイレクトされます。

ここまではいいのですが、
その後、あらためて、login.aspxにて正しいID/PASSにてログインしたあと、page1.aspx に移動しようとすると、
強制的に login.aspx にリダイレクトされるようになってしまい、以降は決して　page1.aspx にはアクセスできなくなります。
page2,,など他のページは見れます。

page1.aspx は必要なページなので、アクセスする必要があります。
解決策はありませんでしょうか？

なお、
当該現象は、サイト管理者　と　ユーザ　で発生しています。
試しに ブラウザを変えてアクセスすると当該現象は発生しません(page1.aspxは見れます)

・サイト管理者のPC(OS:WIN10) : 現象が発生したブラウザ : Edge (chromeでは、見れます)
・ユーザPC(OS:WIN10): 現象が発生したブラウザ : Chrome (Edgeでは、見れます)

見れなくなるページは、URLに直接入力したページが見れなくなる模様です
・サイト管理者: page1.aspx と page3.aspx　が全く見れなくなった  (page2.aspx は見れる)
・ユーザ: page2.aspx　が全く見れなくなった　(page1.aspx, page3.aspxは見れる。実はユーザからの問い合わせの調査で管理者PCも見れなくなった、、)

PCを再起動しても見れないままです。

IISのログは、見れているページへのアクセスは記録がありますが、見れなくなったページへのアクセスは、アクセス自体が記録されていません。
　ログに記載することもなく強制的にリダイレクトしている模様？

WEBサーバを再起動しても見れないままです

aspxのプログラムを若干変更して、再ビルドしてプロジェクトを入れ替えても、見れないままです。

page1.aspx など各ページは業務に必要ですので見れる必要があります。
解決策はありませんでしょうか？

<サーバ情報>
・サーバOS : WindowsServer2019 Essentials
・IIS : 10.0.17763.1
・SSL化済み

これまで数年間運用してきたサイトです。
この前の2021年10月に 上記サーバに移行し、SSL化しました。

よろしくお願いいたします。

  < +++  以下を追加 2021/12/09 11:50 +++ >

サーバ移行にあたり、web.config を一部変更しました
以前は　IIS6　で運用していたので、system.web.extensions の設定が必要でしたが、
今回iis10 では　system.webserver を使うとのこで、当該の記載があるとエラーが出て動かなくなるので、項目ごとコメント化しました。
　(構成エラー　: 定義済みの xxx セクションが重複しています　とのこと)

コメント化した部分は次の通り (トークンの部分のみ XXXX に変更)

```
<configSections>
		<sectionGroup name="system.web.extensions" type="System.Web.Configuration.SystemWebExtensionsSectionGroup, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=XXXXXXXXX">
			<sectionGroup name="scripting" type="System.Web.Configuration.ScriptingSectionGroup, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=XXXXXXXXX">
				<section name="scriptResourceHandler" type="System.Web.Configuration.ScriptingScriptResourceHandlerSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=XXXXXXXXX" requirePermission="false" allowDefinition="MachineToApplication"/>
				<sectionGroup name="webServices" type="System.Web.Configuration.ScriptingWebServicesSectionGroup, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=XXXXXXXXX5">
					<section name="jsonSerialization" type="System.Web.Configuration.ScriptingJsonSerializationSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=XXXXXXXXX" requirePermission="false" allowDefinition="Everywhere"/>
					<section name="profileService" type="System.Web.Configuration.ScriptingProfileServiceSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=XXXXXXXXX" requirePermission="false" allowDefinition="MachineToApplication"/>
					<section name="authenticationService" type="System.Web.Configuration.ScriptingAuthenticationServiceSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=XXXXXXXXX" requirePermission="false" allowDefinition="MachineToApplication"/>
					<section name="roleService" type="System.Web.Configuration.ScriptingRoleServiceSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=XXXXXXXXX" requirePermission="false" allowDefinition="MachineToApplication"/>
				</sectionGroup>
			</sectionGroup>
		</sectionGroup>
	</configSections>
```

頂いたアドバイスをふまえ、もしかしたら、項目の中の一部は必要だったのかもしれないと思い、
コメント化した項目は5項目あったので、先ほど試しに　1つずつ復活させながらやってみましたが、どれも上記の重複エラーが表示されました
　(5項目すべてコメント化したら重複エラーは出なくなった)


何か重要な項目の設定が不足しているのでしょうか？
重ねてよろしくお願いいたします。


  < +++  以下を追加 2021/12/09 15:45 +++ >

・もしかしたら、web.configの　下部にある　system.webServer の記述も関係あるかもと思いましたので追記します   (トークン部分のみ xxxx に変更)

```
	<system.webServer>
		<validation validateIntegratedModeConfiguration="false"/>
		<modules>
			<remove name="ScriptModule"/>
			<add name="ScriptModule" preCondition="managedHandler" type="System.Web.Handlers.ScriptModule, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=xxxxx"/>
		</modules>
		<handlers>
			<remove name="WebServiceHandlerFactory-Integrated"/>
			<remove name="ScriptHandlerFactory"/>
			<remove name="ScriptHandlerFactoryAppServices"/>
			<remove name="ScriptResource"/>
			<add name="ScriptHandlerFactory" verb="*" path="*.asmx" preCondition="integratedMode" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=xxxxxx"/>
			<add name="ScriptHandlerFactoryAppServices" verb="*" path="*_AppService.axd" preCondition="integratedMode" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=xxxxxxx"/>
			<add name="ScriptResource" preCondition="integratedMode" verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=xxxxxx"/>
		</handlers>
	</system.webServer>
```
よろしくお願いいたします。

WEB.ASPXで強制的にリダイレクトされてしまい必要なページが見れなくなった

mac M1 python3.7.2 django2.2.2 django-allauth0.39.1

動かして学ぶ! Python Django開発入門 (NEXT ONE) という本でdjangoを学習中です。

django-allauthを使って認証機能を実装しました。

その後
```
python manage.py migrate
```
をターミナルに打ち込むと以下のようになるはずなのですが
```python
Operations to perform:
 Apply all migrations: account, accounts, admin, auth, contenttypes, a sessions, sites 
Running migrations:
 Applying account.0001 initial... OK
 Applying account.0002_email_max_length... OK
 Applying sites.0001_initial... OK
 Applying sites.0002_alter_domain_unique... OK
 Process finished with exit code 0
```
実際にやるとこのようになってしまいます。
```python
Operations to perform:
  Apply all migrations: account, accounts, admin, auth, contenttypes, sessions, sites
Running migrations:
  No migrations to apply.
```

### やってみたこと

```
python manage.py makemigrations
```
は前の章で実行済みで、また何回かmigrateディレクトリを消してやり直してみたりしましたが結果は同じでした。
```
Migrations for 'accounts':
  accounts/migrations/0001_initial.py
    - Create model CustomUser
```

showmigrationsを実行すると以下のように帰ってきました。
```
account
 [X] 0001_initial
 [X] 0002_email_max_length
accounts
 [X] 0001_initial
admin
 [X] 0001_initial
 [X] 0002_logentry_remove_auto_add
 [X] 0003_logentry_add_action_flag_choices
auth
 [X] 0001_initial
 [X] 0002_alter_permission_name_max_length
 [X] 0003_alter_user_email_max_length
 [X] 0004_alter_user_username_opts
 [X] 0005_alter_user_last_login_null
 [X] 0006_require_contenttypes_0002
 [X] 0007_alter_validators_add_error_messages
 [X] 0008_alter_user_username_max_length
 [X] 0009_alter_user_last_name_max_length
 [X] 0010_alter_group_name_max_length
 [X] 0011_update_proxy_permissions
contenttypes
 [X] 0001_initial
 [X] 0002_remove_content_type_name
sessions
 [X] 0001_initial
sites
 [X] 0001_initial
 [X] 0002_alter_domain_unique

```
これを機にmigrateについて詳しく調べましたが、いまいちわかりにくく行き詰まっています。
このような場合どのような視点から対処していくのか教えていただけるとありがたいです。

migrateしてもNo migrate to applyになる原因と対処法がわかりません

### 前提
Axiosでの認証方法について
一般的な認証方法を知りたい

### 実現したいこと
HTTPリクエストを送る際に認証トークンをどこに持たせるのがセキュリティ的に一番得策なのでしょうか

インターネットで調べると
axiosの通信をする際にheaderもしくはauthに記載する方法がありました

両者の違いがあまりわからないためどちらで実装するべきか悩んでいます

### 該当のソースコード
```
 axios({
  method:'POST',
  url:'/api/maker',
  auth:{username:'hogehoge',password:'認証トークン'},
  headers:{Authorization:'認証トークン'}
})
.then(e=>{
  console.log(e)
})
```


### 試したこと
basic認証はセキュリティ的に推奨できないとありました

authに書いた場合でもheadersに書いた場合でも
basic認証以外の他の認証が可能なのでしょうか？
