セキュリティ

Web認証におけるToken(JWT)とCookie(セッション)の違い

HTTP の世界はステートレスです.すなわち基礎的なプロトコル上では状態が管理されません.ユーザの認証状態などを管理するために,これまでは主に Cookie & セッション ID が使われてきました.一方で,最近ではトークンを使った認証状態の管理がよく使われ…

OAuth2やOpenID Connectとは何か、なんとなくわかった気になるための概要

今更ですが備忘のため,OAuth とか OpenID とかその辺の概要についてまとめるメモ.具体的な仕様については書かないけど RFC や公式サイトに載っている.便宜上,厳密性を疎かにしている点あり. OAuthについて 背景 現在,Twitter や Yahoo など様々なサー…