【PHP】セッションとトークン
セッション
・セッションIDとは
セッションの継続に必要
→セッションIDを毎回確認して、セッションを継続するか決めている
誰からのアクセスなのか、セッションIDによって判断する
axiosだと、ヘッダーに入るようになってる
・セッションIDは超機密情報!!
セッションがばれると大変
ex)セッションハイジャック、セッションおしつけ…
・セッションIDに関する約束事
乱数にする!
サーバーに保存し、直接やり取りしない!
→やりとりの際には、セッションIDではなく、それに紐づいたセッションクッキーをやりとりする
▼セッションクッキーの実際のお姿
トークン
・トークンとは?
APIに対して、アクセス権を示すもの
そのAPIに何回アクセスしているか
特定のユーザーに対しての情報をもつ?
POSTリクエストに混ぜて送る
CSRFトークンをつくって、毎回ちゃんとあるよね?って確認することで、
わけわからん外部から急にアクセスされることを防いでいる!
全体的に口頭で聞いたことを書き起こしているので、
私の聞き間違い、メモ間違いによって違う部分はあるかも…
詳しい本を読んで情報を補足したいな!