セッション

・セッションIDとは

セッションの継続に必要

→セッションIDを毎回確認して、セッションを継続するか決めている

誰からのアクセスなのか、セッションIDによって判断する

axiosだと、ヘッダーに入るようになってる

・セッションIDは超機密情報！！

セッションがばれると大変

ex）セッションハイジャック、セッションおしつけ…

・セッションIDに関する約束事

乱数にする！

サーバーに保存し、直接やり取りしない！

→やりとりの際には、セッションIDではなく、それに紐づいたセッションクッキーをやりとりする

▼セッションクッキーの実際のお姿

トークン

・トークンとは？

APIに対して、アクセス権を示すもの

・APIトークン

そのAPIに何回アクセスしているか

特定のユーザーに対しての情報をもつ？

POSTリクエストに混ぜて送る

・CSRFトークン

CSRFトークンをつくって、毎回ちゃんとあるよね？って確認することで、

わけわからん外部から急にアクセスされることを防いでいる！

全体的に口頭で聞いたことを書き起こしているので、

私の聞き間違い、メモ間違いによって違う部分はあるかも…

詳しい本を読んで情報を補足したいな！