サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ – くろの雑記帳

サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ – くろの雑記帳

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（…