セキュリティ プログラミング ソフトウェア 2026.05.20 34 JWT の正しい使い方と落とし穴 — 署名検証・保管・失効 JWT はステートレスで便利な反面、「alg=none」 「署名検証忘れ」 「localStorage 保管で XSS」 「失効できない」 など落とし穴も多いトークン形式です。「JWT を使うと決めた場合」 のベストプラクティス(必須クレーム検証・短命 + Rotation・HttpOnly Cookie・機密データを入れない)と、よくある事故パターンを実務目線で整理します。 # セキュリティ # 認証 # トークン
ソフトウェア セキュリティ AI 2026.04.19 50 AIにJWT認証を提案されたけど本当に必要?Cookieセッションで足りるケースと見直し基準 生成AIに JWT 認証を提案されたときに、そのまま採用してよいのかを、Cookie セッションで足りるケース、JWT が向くケース、失敗しやすい判断ポイントから整理した記事です。 # 生成AI # API # 認証
