既存プロジェクトにNext.js等のSSRを導入する場合は既存の認証機能を維持したり活かしたりする必要があります。しかしSSRの認証とCSR(SPA)の認証は同じではなく、簡単に共有できるものではありません。 ここでは複数のテックブログの事例を見ながら、この難しさと本物のウェブサービスで採用された解決策を見ていきます。 CSRとSSRの認証の違い まず最初に、CSR(SPA)とSSR[1]の認証の違いをざっくり紹介します。技術的制約を理解していただくことが目的です。 クライアント視点では、認証システムは突き詰めると、トークン(鍵)[2]を安全に保管し、必要時にサーバに渡す(鍵穴に差し込む) ことです。この2つに絞って解説します。[3] https://www.flaticon.com/free-icons/vault (by IYIKON) https://www.flaticon.com
米Googleは1月25日(現地時間)、2021年3月に発表したサードパーティーcookieに代わる技術「FLoC」(Federated Learning of Cohorts)の開発を停止し、新たに「Topics」と呼ぶ技術のテストを年内に開始すると発表した。 同社は、ユーザーのWebプライバシーを改善しつつ適切な広告を表示するための取り組み「Privacy Sandbox」の技術としてFLoCを開発してきたが、ユーザーを特定できてしまう可能性を指摘されたり、この取り組みが独禁法に違反する可能性があるとされたりと、批判が高まっていた。 Googleは「Topicsは、FLoCのテストからの学習と幅広いコミュニティからのフィードバックに基づいて、FLoCに代わるものとして開発する」と語った。 Topicsの大まかな仕組みはこうだ。Webブラウザが、ユーザーのWeb閲覧履歴に基づいて、そのユ
図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないためにおこる脆弱です。 たとえば会員の退会ページを https://example.com/mypage/delete/で用意し、 ボタン操作でsubmit=1が送信されて退会処理が実行される仕様の場合、 パラメータが誰でもわかるので、外部に用意された悪意のあるフォ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
