「サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳」

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(私訳:JWTトークンはログアウト後にサーバー上で無効化すべきです)と書いてあるけど、どうやって無効化するんだ? ブラックリストに入れる?https://t.co/bcdldF82Bw— 徳丸 浩 (@ocke…

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(私訳:JWTトークンはログアウト後にサーバー上で無効化すべきです)と書いてあるけど、どうやって無効化するんだ? ブラックリストに入れる?https://t.co/bcdldF82Bw— 徳丸 浩 (@ocke…

kurochan-note.hatenablog.jp

Webページ

コンテンツ文字数:0 文字

見出し数(H2/H3タグ):0 個

閲覧数:62 件

2022-04-18 17:31:37

オリジナルページを開く

B!

タグ一覧
サーバ
サイド
JWT
即時
無効
機能
持っ
ない
サービス
脆弱
くろ
雑記帳
きっかけ
昨年
2021
ごろ
徳丸
さん
この
ツイート
2022
用い
セッション
管理
代表
れる
ステート
レス
受け入れ
られ
なく
なっ
いく
だろ
思っ
まし
OWASP
Top
10
tokens
should
be
invalidated
on
the
server
after
logout
トークン
ログアウト
サーバー
べき
です
書い
ある
けど
どう
やっ
する
ブラックリスト
入れる
https
co
bcdldF
82
Bw
ocke
結論
現状
日本語版
記述
議論
変更
追いつい
※読み込みに時間がかかることがあります