「JWT を localStorage に置くな」はなぜ言われるのか、Cookie 回帰までの時系列整理

「JWT を localStorage に置くな」はなぜ言われるのか、Cookie 回帰までの時系列整理
SRANK

はじめにWebセキュリティの第一人者である徳丸浩氏が X で、JWT と Cookie セッションの関係についてこんな投稿をされていました。これはウェブAPI呼び出しの歴史から考えると腑に落ちるのですが、CORSの機能にCookie付与があることからもわかるように、(1) 昔はクロスオリジンのAPIをCookieによるセッション管理で呼び出す方法が用いられていましたが、(2) サードパーティクッキー規制などでそれが難しくなり、Authorizationヘッダによるトークン（保存先はlocalStorage）に変わるものの、(3) 各APIの生トークンをクライアントに保持するのはやはり危険ということでBFFにトークンを隔離すると、(4) もはやJWTによるセッション管理をクライアントでする必要はないということで伝統的なCookieによるセッション管理に回帰するという流れで考えるとわかりやすいと思います。元投稿短い投稿ですが、ここ 20 年の Web セッション管理の歴史がきれいに 4 段階で要約されています。「BFF を建てるのが正解なのか？」という問いに対して、BFF を立てるなら、クライアント ↔ BFF 間で JWT を使う理由はもはや無くなり、伝統的な Cookie セッションに戻る、と徳丸氏は述べています。…

zenn.dev 4 days ago

Open page

https://zenn.dev/khale/articles/web-session-jwt-cookie-history