Bearer Token
べあらーとーくん
セキュリティトークンのうちその利用可否が「トークンの所有」のみで決定されるもの
持ってさえすれば良い
誰であるかは問わない
Cookieと似ている箇所
平文の文字列を使用する
シークレットや署名は含まれない
TLSがセキュリティ・モデルの基盤になっている
Cookieと異なる点
CORSの制限がない?
攻撃
tokenの偽装
偽のtokenを作成したり、既存のtokenを改竄したり
トークンのリプレイ
有効期限が切れた古いtokenを再度使うことを試みる
トークンの流用
あるresource serverで有効なtokenを、別のresource serverで使用しようとする
tokenからの漏洩
clientはどういう経路でbearer tokenを取得するの?
持ってさえ良いなら、簡単に奪取できそうな気もするけど
どの粒度で生成するの?
各userで別物?各requestで別物?