Go Langで作成したログイン認証のjwtのアクセストークンが切れた時にどうするか

アクセストークンの有効期限は短く ログイン認証を作るうえで、アクセストークンの有効期限は短い方がいい、という情報を得た。 アクセストークンが盗まれた時に、備えてのことらしい。 例えば15分とか、って例で書かれていた。 そうすると15分ごとにログインをし直させなければならない。 それはユーザビリティ的にどうなのだろうか。という疑問が生まれた。 それを解決するのがリフレッシュトークンらしい。 アクセストークンとリフレッシュトークン リフレッシュトークンはアクセストークンを再発行するために必要になる。 例えば、ログインをしアクセストークンを取得する。 15分後、アクセストークンが切れた場合はリフレッシュトークンを使用し、アクセストークンを再発行する。 その際、リフレッシュトークンも最新化する。 これで15分ごとにユーザーがログインし直すという苦痛から解放することができる。 アクセストークンは危険で、リフレッシュトークンは安全なの? アクセストークンもリフレッシュトークンも一緒に得ることができ、同じように保存をしておく必要がある。 それなのにどうしてアクセストークンは危険で、リフレッシュトークンは安全なのだろうか。 ってずっと疑問だったけど、社内の博士に聞き解決した。 確率の問題 アクセストークン、リフレッシュトークンが盗まれるのは通信中である。 通信にアクセストークンを持たせて、15分間、何回通信をするだろうか。 それに比べてリフレッシュトークンはアクセストークンが失われた時にしか使用されないので、リフレッシュトークンに比べて安全だと言える。 ということ。

投稿日 · 2023-12-22 · 更新日 · 2024-06-07 · 1 分 · nove-b

アクセストークン等を使用せず、お手軽にMastodonのタイムラインをWebページに読み込むことできる仕組みを作成した

Hello Mastodon TwitterよりMastodonの方がよっぽど居心地がいい。 ということでMastodonにより生息するようになったのだが、フォローしたい人もいないければ、フォローしてくれる人もいない。 というのも分散型ということで、Mastodonは検索が弱く、フォローしたい人をうまく探し出せないようだった。 そのため、エンジニアと相互関係になりたいのだが、そもそもフォローしたい人をいまだに見つけ出せずにいる。 ということで、このブログに埋め込むことで、このブログにたどり着いてくれた人(たぶんエンジニア)にフォローをしてもらおうと思い立った。 そこでこのブログにMastodonのタイムラインを埋め込んだ。 手軽にMastodonのタイムラインを埋め込める! そしてどうせならだれでも使えるようにしようということで、公開することにした。 mastodon-timeline アクセストークン等を使用せず、お手軽にMastodonのタイムラインをWebページに読み込むことができますので、ぜひ使ってみてください。 そしてFediverseで繋がりましょう。

投稿日 · 2023-11-03 · 更新日 · 2024-06-07 · 1 分 · nove-b