そもそもJWTに関する私の理解は完全に間違っていた！——アクセストークンとリフレッシュトークンの正しい使い方

概要

JWTがセッションの代替として語られることが多いが、それは誤りであるという技術記事。JWTの正しいユースケースはステートレスな短命のアクセストークンであり、セッションに近い概念はリフレッシュトークンであることを解説する。

詳細

• ステートレスなJWTはそもそもセッションの代替ではない
• 正しい利用法はアクセストークンとして数分レベルの短寿命で使うこと
• 従来のセッションに近い概念はリフレッシュトークン
• モノリスアーキテクチャでは不要、SPA+マイクロサービス構成でメリットが出る
• JWTの誤解が生む設計上の問題点を整理

参照

• 出典: https://koduki.hatenablog.com/entry/2019/11/03/163014
• はてなブックマーク数: 50