2022-04-01から1ヶ月間の記事一覧

サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか?

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tok…