oauth

そもそもJWTに関する私の理解は完全に間違っていた!

TL;DR ステートレスなJWTはそもそもセッションの代替では無い アクセストークンとしての利用が基本で数分レベルの短寿命な有効期限で利用 従来のセッションに近い概念はリフレッシュトークン。てか、リフレッシュトークンはセッションでも(たぶん)良い ユー…

OAuth2.0のclient_secretって本当に秘密鍵ですか?

OAuthをしているサービスをAndroid + PhoneGap経由で使いたくて調べて見ました。 そして、色々調べたり考えたりした結果、 client_secret ってそもそも秘密鍵にする必要なくね? という天啓を得たので、つらつらと書いてみます。secretって名前なのに秘密で…