タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
カラーミーショップ サービス基盤チームのkymmtです。この記事では、サーバサイドレンダリングするシングルページアプリケーションとAPIサーバからなるWebアプリケーションのセッション管理方法について紹介します。 アプリケーションの構成 構成の概要 今回は例としてEC事業部で提供するカラーミーリピートをとりあげます。構成としては、Railsで作られたAPIサーバ1と、Vue.jsで作られたシングルページアプリケーション(SPA)からなります。また、SPAはExpressが動くフロントエンドサーバでサーバサイドレンダリング(SSR)します。APIサーバはSPAかフロントエンドサーバだけが呼び出します。各ロールはサブドメインが異なります。 APIサーバでセッションIDを持つCookieを発行し、Redisを用いてセッション管理します。また、APIサーバへのセッションが有効なリクエストはフロント
フィードバックを送信 Service Worker によるセッション管理 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 Firebase Auth では、Service Worker を使用して Firebase ID トークンを処理し、セッション管理を行うことができます。この方法には、次のような利点があります。 追加の作業を行わずに、サーバーからの HTTP リクエストに ID トークンを渡すことができます。 追加のラウンド トリップやレイテンシを発生させずに、ID トークンを更新できます。 バックエンドとフロントエンドのセッションを同期できます。この方法は、Realtime Database や Firestore などの Firebase サービスや、外部サーバーサイドのリソース(SQL データベースなど)にアクセスする必要のあるアプリケーションで
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 概要 ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼びます。 また、推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法として、「セッションIDの固定化(Session Fixation)」と呼ばれる攻撃手法があります。悪意ある人があらかじめ用意したセッションIDを、何らかの方法(脚注1)で利用者に送り込み、利用者がこれに気付かずにパスワードを入力するなどしてログインすると起こりうる問題です。悪意のある
以前に別の記事で Laravelのセッション管理をデータベースに変更する手順 をご紹介しましたが、今回はその派生でインメモリデータベースであるRedisを利用する手順をご紹介致します。 基本的にはLaravelの公式ドキュメントに記載されている通りです。 Laravelに、利用するRedisへの接続情報を定義し、セッション管理の設定をRedisに変更します。 https://readouble.com/laravel/5.5/ja/redis.html なお、今回使用するRedisはAWSのElastiCacheで構築します。 https://aws.amazon.com/jp/elasticache/ 手順 ElastiCacheの構築 ElastiCacheの利用手順 の記事でElastiCacheの構築の流れをご紹介しておりますので、流れに沿って構築します。 Predisのインストー
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su
XSSとCSRFの違い表 ■CORS(Cross-Origin Resource Sharing) 追加のHTTPヘッダーを使用して、あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組み。 サーバがブラウザに指示するというところがポイント。 ブラウザ側はCORS制約を検知するとエラーの挙動をとる。なのでPostmanのようにhttpリクエストを投げるようなツールはCORS制約を受けない。あくまでCORS制約を受ける場合においてはサーバ側からのレスポンスを読み取らせないというブラウザに備わる機能。 ※深堀り! CORS対策をブラウザがしているのであればCSRFトークンといった対策をサーバ側はする必要ない?と思ってしまうけど、そうじゃない。 先述したようにCORSはあくまでブラウザの挙動。CSRF対
いわさです。 本日のアップデートで IAM Identity Center にセッション管理機能が追加されたようです。 IAM Identity Center 上で IdP としてユーザー管理を行い、AWS のマルチアカウントを始め様々な外部サービスへのシングルサインオンを実現することが出来ます。 この独自管理するユーザーに対してセッション管理を行うための機能が追加されたという形のようです。 旧 AWS SSO のころからあまり IAM Identity Center に触る機会が少なかったのですが良い機会なのでアップデートの確認を兼ねて触ってみたいと思います。 セッション期間の設定 ひとつめは以下のようにセッション期間を設定することが出来るようになりました。 今までは固定で 8 時間だったようです。 設定メニューの認証タブに「セッション設定」が追加されています。 こちらはユーザーやグルー
こんにちは。 本日はNext.jsでクッキーを使用したセッション管理を実践してみたいと思います。 なお、認証に関連するセッションについては、各認証サービスの公式ドキュメントを参照してください。 まずは、簡単にセッションの概念について説明します。 1.セッションとは?PHPやRubyなどのサーバーサイド言語を扱う場合、セッション管理は当たり前のように行われることです。 セッションは、サーバー側にデータを保存する仕組みです。 簡単に言えば、サーバーがユーザーの情報や状態を記憶しておくためのものです。 しかし、セッションについて理解する前に、ステートについても説明したいと思います。 2.ステートレスとステートフル● ステートレス ステートレスサーバーは、クライアントのセッション状態を保持せず、リクエストに対するレスポンスが一貫して同じです。 ● ステートフル ステートフルサーバーは、クライアント
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く