Upgrade to Pro — share decks privately, control downloads, hide ads and more …

知っててうれしい HTTP Cookie を使ったセッション管理について

Avatar for greendrop greendrop
December 22, 2024
Technology
300
1

知っててうれしい HTTP Cookie を使ったセッション管理について

Avatar for greendrop

greendrop

December 22, 2024

More Decks by greendrop

See All by greendrop
gh skill コマンドで AI エージェントのスキルを一元管理・自動配布する
Avatar for greendrop greendrop
0
32
GitHub Actions の設定を少しよくする
Avatar for greendrop greendrop
0
39
リンクからモバイルアプリを起動する技術
Avatar for greendrop greendrop
0
22
知っててうれしい SQL について
Avatar for greendrop greendrop
0
310
知っててうれしいリレーショナルデータベースについて
Avatar for greendrop greendrop
0
260
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
Avatar for greendrop greendrop
0
230
知っててうれしい HTTP について
Avatar for greendrop greendrop
0
320
知っててうれしい HTTP キャッシュについて
Avatar for greendrop greendrop
0
360
知っててうれしい HTTP Cookie について
Avatar for greendrop greendrop
0
300

Other Decks in Technology

See All in Technology
R&D 祭 2024 UE5で絵コンテ・作画の制作支援ツールをつくる話
Avatar for OLM Digital R&D olmdrd
PRO
0
200
「強制アップデート」か「チームの自律」か?エンタープライズが辿り着いたプラットフォームのハイブリッド運用/cloudnative-kaigi-hybrid-platform-operations
Avatar for みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 mhrtech
0
220
サイボウズ、プラットフォームエンジニアリング始めるってよ ― プラットフォームチームの事業貢献と組織アラインメントの強化
Avatar for Shin'ya Ueoka ueokande
0
120
アプリブロック機能のつくりかたと、AIとHTMLの不合理な相性の良さについて
Avatar for kumamotone kumamotone
1
260
PdM・Eng・QAで進めるAI駆動開発の現在地/aidd-with-pdm-eng-qa
Avatar for butatamasoba / Shota Kusaba / 草場翔太 shota_kusaba
0
260
Redmine次期バージョン7.0の注目新機能解説 — UI/UX強化と連携強化を中心に
Avatar for MAEDA Go vividtone
1
190
20260516_SecJAWS_Days
Avatar for Takuya Yonezawa takuyay0ne
2
530
TypeScriptはどのようにどこまで推論できるのか ─ とにかく as は禁止で
Avatar for ypresto ypresto
0
220
GCASアップデート(202603-202605)
Avatar for 高橋広和 techniczna
0
230
Pythonでベイズモデリング
Avatar for Soogie soogie
0
150
AsyncStreamでマルチブロードキャストを実装する
Avatar for 1mash0 1mash0
1
170
React Compiler導入の効果と運用の工夫
Avatar for KAKEHASHI kakehashi
PRO
3
290

Featured

See All Featured
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
211
24k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
1.1k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
780
Marketing to machines
Avatar for Jono Alderson jonoalderson
1
5.3k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
570
Scaling GitHub
Avatar for Zach Holman holman
464
140k
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
560
Unsuck your backbone
Avatar for Amy Palamountain ammeep
672
58k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
231
23k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1.1k
Designing for Timeless Needs
Avatar for Cassini Nazir cassininazir
1
220

Transcript

  1. 知っててうれしい HTTP Cookie を使った セッション管理について 2024/12/22 1

  2. 目次 セッション管理が必要な理由 セッション管理の仕組み セッション管理のセキュリティ まとめ 目次 2

  3. セッション管理が必要な理由 HTTP はステートレスなプロトコルであるため、リクエスト間の状態 を保持できません。 ステートレスな HTTP において、同じブラウザなどからのリクエスト であることを判断したい場面があります。 例えば、ログインしているユーザーの情報を保持したい場合などで す。

    そのような場合に使われる方法として、HTTP Cookie を使ったセッシ ョン管理があります。 セッション管理が必要な理由 3

  4. セッション管理の仕組み セッション管理は、Cookie によるセッション ID の保存と、サーバー 側でのセッション ID とユーザー情報の紐付けによって実現されます。 セッション ID

    の Cookie の名前は session_id などが一般的ですが、 任意の名前を使うこともできます。 セッション ID の値は、一般的にはランダムな文字列を使い、ユニーク な値となるようにします。 セッション管理の仕組み 4

  5. セッション管理の仕組み セッション管理の仕組み 5

  6. セッション管理の仕組み セッション管理の仕組み 6

  7. セッション管理のセキュリティ セッション ID がわかると、他のユーザーがログインしているユーザー の情報を取得できるため、セッション ID の推測されにくい値にした り、流出を防ぐことが重要です。 流出しないように、Cookie の設定も重要です。

    Domain, Path Secure SameSite セッション管理のセキュリティ 7

  8. まとめ HTTP はステートレスなプロトコルであるため、同じブラウザなど からのリクエストであることを判断したい場合にセッション管理が 必要 セッション ID は、推測されにくいランダムな文字列を使い、ユニー クな値となるようにする セッション

    ID の流出を防ぐために、Cookie の設定も重要 まとめ 8

  9. ご清聴ありがとうございました。 9