Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
知っててうれしい HTTP Cookie を使ったセッション管理について
Search
greendrop
December 22, 2024
Technology
0
100
知っててうれしい HTTP Cookie を使ったセッション管理について
greendrop
December 22, 2024
Tweet
Share
More Decks by greendrop
See All by greendrop
知っててうれしい SQL について
greendrop
0
96
知っててうれしいリレーショナルデータベースについて
greendrop
0
94
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
greendrop
0
110
知っててうれしい HTTP について
greendrop
0
120
知っててうれしい HTTP キャッシュについて
greendrop
0
120
知っててうれしい HTTP Cookie について
greendrop
0
120
知っててうれしいデータベースについて
greendrop
0
120
Other Decks in Technology
See All in Technology
rootful・rootless・privilegedコンテナの違い/rootful_rootless_privileged_container_difference
moz_sec_
0
100
OPENLOGI Company Profile for engineer
hr01
1
17k
ヤプリQA課題の見える化
gu3
0
140
Alignment and Autonomy in Cybozu - 300人の開発組織でアラインメントと自律性を両立させるアジャイルな組織運営 / RSGT2025
ama_ch
1
1.1k
AWS re:Invent 2024 ふりかえり勉強会
yhana
0
680
サーバーなしでWordPress運用、できますよ。
sogaoh
PRO
0
170
TypeScript開発にモジュラーモノリスを持ち込む
sansantech
PRO
3
850
生成AIによるテスト設計支援プロセスの構築とプロセス内のボトルネック解消の取り組み / 20241220 Suguru Ishii
shift_evolve
0
160
能動的ドメイン名ライフサイクル管理のすゝめ / Practice on Active Domain Name Lifecycle Management
nttcom
0
310
OPENLOGI Company Profile
hr01
0
57k
プロダクト組織で取り組むアドベントカレンダー/Advent Calendar in Product Teams
mixplace
0
640
効率的な技術組織が作れる!書籍『チームトポロジー』要点まとめ
iwamot
2
190
Featured
See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Automating Front-end Workflow
addyosmani
1366
200k
Scaling GitHub
holman
459
140k
Designing for Performance
lara
604
68k
Become a Pro
speakerdeck
PRO
26
5.1k
Being A Developer After 40
akosma
89
590k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
3
220
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.9k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
A Tale of Four Properties
chriscoyier
157
23k
Thoughts on Productivity
jonyablonski
68
4.4k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
Transcript
知っててうれしい HTTP Cookie を使った セッション管理について 2024/12/22 貞元勝幸 1
目次 セッション管理が必要な理由 セッション管理の仕組み セッション管理のセキュリティ まとめ 目次 2
セッション管理が必要な理由 HTTP はステートレスなプロトコルであるため、リクエスト間の状態 を保持できません。 ステートレスな HTTP において、同じブラウザなどからのリクエスト であることを判断したい場面があります。 例えば、ログインしているユーザーの情報を保持したい場合などで す。
そのような場合に使われる方法として、HTTP Cookie を使ったセッシ ョン管理があります。 セッション管理が必要な理由 3
セッション管理の仕組み セッション管理は、Cookie によるセッション ID の保存と、サーバー 側でのセッション ID とユーザー情報の紐付けによって実現されます。 セッション ID
の Cookie の名前は session_id などが一般的ですが、 任意の名前を使うこともできます。 セッション ID の値は、一般的にはランダムな文字列を使い、ユニーク な値となるようにします。 セッション管理の仕組み 4
セッション管理の仕組み セッション管理の仕組み 5
セッション管理の仕組み セッション管理の仕組み 6
セッション管理のセキュリティ セッション ID がわかると、他のユーザーがログインしているユーザー の情報を取得できるため、セッション ID の推測されにくい値にした り、流出を防ぐことが重要です。 流出しないように、Cookie の設定も重要です。
Domain, Path Secure SameSite セッション管理のセキュリティ 7
まとめ HTTP はステートレスなプロトコルであるため、同じブラウザなど からのリクエストであることを判断したい場合にセッション管理が 必要 セッション ID は、推測されにくいランダムな文字列を使い、ユニー クな値となるようにする セッション
ID の流出を防ぐために、Cookie の設定も重要 まとめ 8
ご清聴ありがとうございました。 9
greendrop
moz_sec_
hr01
gu3
ama_ch
yhana
sogaoh
sansantech
shift_evolve
nttcom
mixplace
iwamot
marcelosomers
addyosmani
holman
lara
speakerdeck
akosma
bcantrill
lynnandtonic
chriscoyier
jonyablonski
jeffersonlam
