アカウント名:
パスワード:
前はプライバシー対策に、定期cookie削除やってたので、基本ログインしっぱなしはなかった
最近は面倒なので、cookie削除せずログインしっぱなしが多いとくに、グローバル大手ネット企業は、ログイン・ログアウトや、cookie削除を繰り返すと、botかなにかと勘違いされて、アカウント停止したりする
> 前はプライバシー対策に、定期cookie削除やってたので、> 基本ログインしっぱなしはなかった
Cookie だけに頼っていたのは平成までで、今どきはアクセストークンをローカルストレージに入れてたりするんですよ。
知ったかぶりするの止めません?今も昔も「アクセストークン」はCookieです。
数年前ならばアクセストークンもlocalStorageに入れるWebサービスも一応は運用できましたけど、Safari が ITP 2.3 で、7日間、ユーザーがそのオリジンのWebサイトにアクセスしないと、すべてのlocalStorageが削除されるようになったので使い物にならなくなりました。
これは、トラッキングドメイン経由・URLにパラメータやフラグメントが付与されている場合などに該当しないすべての場合に適用されるので、本当にlocalStorageは使い物にならなくなったのです。日本ではシェア半分近いAppleデバイスを切り捨てるなら別ですけどね。
ゲームのセーブデータ入れるなんていう本来の使い方をしたとしても7日間で削除されたら困りますから、localStorageは一時的にデータを置くぐらいにしか使い物にならなくなったので、アクセストークンをCookieに入れてデータはサーバ側で管理するしかなくなりました。
# Appleはプライバシー保護のために ITPというオレオレ規格を導入しましたが、そのせいでローカル処理だけですますことのできるデータまでサーバ管理しなくてはならなくなり、プライバシーが余計侵害される結果になりました。
それと、今時のブラウザーはすべて「定期cookie削除」の操作を普通のUIからやるとlocalStorageも同時に消えます。
Cookie は secure / HttpOnly で JS から読めない一方、OAuth2.0 では アクセストークンは Authorization ヘッダで飛ばすものなので、JS から取れないと標準の OAuth2.0 では API が叩けない。
なので、localStorage に入れておいて、データが消えたら再認証するわけです。
> なので、localStorage に入れておいて、データが消えたら再認証するわけです。
JavaScriptから読み書きするcookieにはHttpOnly属性を付けなければ、localStorageに拘る必要はないかと存じます
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
定期cookie削除 (スコア:0)
前はプライバシー対策に、定期cookie削除やってたので、
基本ログインしっぱなしはなかった
最近は面倒なので、cookie削除せずログインしっぱなしが多い
とくに、グローバル大手ネット企業は、ログイン・ログアウトや、cookie削除を繰り返すと、
botかなにかと勘違いされて、アカウント停止したりする
Re: (スコア:1)
> 前はプライバシー対策に、定期cookie削除やってたので、
> 基本ログインしっぱなしはなかった
Cookie だけに頼っていたのは平成までで、
今どきはアクセストークンをローカルストレージに入れてたりするんですよ。
今も昔もアクセストークンはCookieです (スコア:0)
知ったかぶりするの止めません?
今も昔も「アクセストークン」はCookieです。
数年前ならばアクセストークンもlocalStorageに入れるWebサービスも一応は運用できましたけど、
Safari が ITP 2.3 で、7日間、ユーザーがそのオリジンのWebサイトにアクセスしないと、すべてのlocalStorageが削除されるようになったので使い物にならなくなりました。
これは、トラッキングドメイン経由・URLにパラメータやフラグメントが付与されている場合などに該当しないすべての場合に適用されるので、本当にlocalStorageは使い物にならなくなったのです。
日本ではシェア半分近いAppleデバイスを切り捨てるなら別ですけどね。
ゲームのセーブデータ入れるなんていう本来の使い方をしたとしても7日間で削除されたら困りますから、localStorageは一時的にデータを置くぐらいにしか使い物にならなくなったので、
アクセストークンをCookieに入れてデータはサーバ側で管理するしかなくなりました。
# Appleはプライバシー保護のために ITPというオレオレ規格を導入しましたが、そのせいでローカル処理だけですますことのできるデータまでサーバ管理しなくてはならなくなり、プライバシーが余計侵害される結果になりました。
それと、今時のブラウザーはすべて「定期cookie削除」の操作を普通のUIからやるとlocalStorageも同時に消えます。
Re:今も昔もアクセストークンはCookieです (スコア:1)
Cookie は secure / HttpOnly で JS から読めない一方、OAuth2.0 では アクセストークンは Authorization ヘッダで飛ばすものなので、JS から取れないと標準の OAuth2.0 では API が叩けない。
なので、localStorage に入れておいて、データが消えたら再認証するわけです。
Re: (スコア:0)
> なので、localStorage に入れておいて、データが消えたら再認証するわけです。
JavaScriptから読み書きするcookieにはHttpOnly属性を付けなければ、localStorageに拘る必要はないかと存じます