・後輩のプログラミングの指導をしていた。
あまり手を貸しすぎると学びにならないと思って自力任せ寄りにしていたのだが、思った以上に基礎寄りの所でマズそうな片鱗が後になって見えてきた。結局「手を貸せば学びにならないだろう」を言い訳にちゃんと見ていなかっただけじゃないかと反省している。
手を貸しすぎれば学びにならないが、様子を見るだけなら少なくとも何の影響も無い訳で、すぐに手を貸さずともとりあえず見ていればよかった。この反省は次に活かしたい。
・LaravelのAPIの認証処理を調べていた。あまりにも手段の範囲が広すぎて頭が痛くなる。JWT-authやlaravel passportのような外部ライブラリもあるし、api_tokenを用いる方法もある。
そしてその悉くが学習コストが高すぎる。というかLaravel全体学習コストが高すぎる。
根本から学ぼうとしてるから無駄に苦労してるだけ?でもやりたいことはAPIで認証したいだけって本当に単純な筈なのに色んな方法を吟味しないと行けなくてそのために結局根本の知識が要求されるの利用側としてどうしようもなくね?
やりたいことが単純でも裏では色々大変、というのは分かってるつもりだけど、それを覆い隠してくれるのをフレームワークに期待するのはだめなん?
・JWT認証に関する良さそうな記事を見つけた。https://qiita.com/hakaicode/items/1d504a728156cf54b3f8
JWT認証がセキュリティ的に弱いと言われているのは主に「トークンをlocalStorageに保存したら盗まれるから」「トークンを無効化しようと思ったら全部まとめて無効化することしかできないから」の2点、ということで良いのだろうか。
JWTの仕組みがあまり良く分かってないので、トークン無効化周りの事情が良く理解できない。なんでクライアント側で「認証した」って情報をもっていていいんだろ?
Categories: 未分類