①  POST /login
    → サーバーが認証を確認し、セッションIDを発行
    → Set-Cookie: session_id=SID_XXXX; HttpOnly; Secure

②  GET /dashboard
    → ブラウザが Cookie: session_id=SID_XXXX を自動送信
    → サーバーがセッションIDを照合して「田中さんのリクエスト」と判断

# Python（secrets モジュールを使う）
import secrets
session_id = secrets.token_hex(32)  # 256ビット = 64文字の16進数文字列

// Node.js（crypto モジュールを使う）
import { randomBytes } from "crypto";
const sessionId = randomBytes(32).toString("hex"); // 256ビット

① 攻撃者がターゲットサービスにアクセスし、未認証のセッションIDを取得
   攻撃者のブラウザ → GET https://myapp.com/
   ← Set-Cookie: session_id=KNOWN_SID

② 攻撃者がKNOWN_SIDをURLパラメータや細工したリンクで被害者に渡す
   例：https://myapp.com/login?session_id=KNOWN_SID

③ 被害者がそのリンクからログインする
   被害者のブラウザ → POST /login (Cookie: session_id=KNOWN_SID)
   → サーバーが認証を確認、KNOWN_SIDをそのままログイン後のセッションに使う

④ 攻撃者がKNOWN_SIDでアクセスすると、被害者のセッションを乗っ取れる

# ❌ アンチパターン：ログイン前のセッションIDをそのまま使う
def login(request):
    user = authenticate(request.form["email"], request.form["password"])
    if user:
        session["user_id"] = user.id  # 同じセッションIDに書き込む
        return redirect("/dashboard")

# ✅ 正しい実装：ログイン後にセッションIDを再生成する（疑似コード）
# 実際のメソッド名はフレームワークによって異なる（下記の表を参照）
def login(request):
    user = authenticate(request.form["email"], request.form["password"])
    if user:
        old_data = dict(session)       # 既存データを退避
        session.clear()                # 旧セッションを削除
        session.regenerate()           # 新しいセッションIDを発行（フレームワーク固有）
        session.update(old_data)       # データを引き継ぐ
        session["user_id"] = user.id
        return redirect("/dashboard")

Set-Cookie: session_id=SID_XXXX;
  HttpOnly;          ← JavaScriptから読み取れない（XSS対策）
  Secure;            ← HTTPS通信のみで送信される
  SameSite=Lax;      ← トップレベルナビゲーション以外のクロスサイトリクエストにはCookieを付与しない（CSRF対策）
  Path=/;
  Max-Age=3600       ← セッションの有効期限

① ブラウザの閲覧履歴
   https://myapp.com/dashboard?session_id=SID_XXXX
   → 共有PCや端末紛失時に第三者が履歴から取得できる

② Referer ヘッダー
   外部リンクをクリックすると、遷移先サーバーのアクセスログに
   Referer: https://myapp.com/dashboard?session_id=SID_XXXX
   が記録される

③ サーバー・プロキシのアクセスログ
   GET /dashboard?session_id=SID_XXXX HTTP/1.1
   → ログ管理者や侵害されたログシステムから漏洩する

④ ブラウザのキャッシュ・ブックマーク
   URLごとキャッシュ・保存されると長期間残存する

# ❌ アンチパターン：URLにセッションIDを含める
return redirect(f"/dashboard?session_id={session_id}")

# ✅ 正しい実装：Cookieのみで管理する
response = redirect("/dashboard")
response.set_cookie("session_id", session_id, httponly=True, secure=True, samesite="Lax")
return response

// Spring Boot：URL Rewriting を無効化する
@Configuration
public class SessionConfig {
    @Bean
    public HttpSessionIdResolver httpSessionIdResolver() {
        // CookieベースのみにしてURLへの埋め込みを禁止
        return new CookieHttpSessionIdResolver();
    }
}
// または application.properties で
// server.servlet.session.tracking-modes=cookie

# ログイン時：クライアント情報をセッションに記録
def create_session(user_id, request):
    session_data = {
        "user_id": user_id,
        "ip_address": request.remote_addr,
        "user_agent": request.headers.get("User-Agent", ""),
        "created_at": time.time(),
    }
    session_id = generate_session_id()
    redis.setex(f"session:{session_id}", 3600, json.dumps(session_data))
    return session_id

# リクエスト時：照合する
def validate_session(session_id, request):
    data = redis.get(f"session:{session_id}")
    if not data:
        return None
    session = json.loads(data)
    if session["user_agent"] != request.headers.get("User-Agent", ""):
        # User-Agentが変わった → セッション無効化
        redis.delete(f"session:{session_id}")
        return None
    return session

❌ よくある実装：
  - ブラウザのCookieからセッションIDを削除するだけ
  - サーバーサイドのセッションデータはそのまま残る

問題：
  - セッションIDがすでに第三者に漏れていた場合、
    ログアウト後もそのIDでアクセスできてしまう
  - ブラウザの履歴やプロキシのキャッシュにセッションIDが残っていると再利用される

□ サーバーサイドのセッションデータを削除する（最重要）
□ Set-Cookie でセッションIDを無効な値・過去の有効期限で上書きしてブラウザから削除する
□ OIDCを使っている場合はIdPへのRP-Initiated Logoutも実行する（オプション）
□ アクセストークン・リフレッシュトークンをリボークする

# ✅ サーバーサイドでセッションを削除してからCookieを削除する
def logout(request):
    session_id = request.cookies.get("session_id")
    if session_id:
        session_store.delete(session_id)          # ① サーバーのセッションデータ削除

    response = redirect("/login")
    response.delete_cookie(                        # ② ブラウザのCookieを削除
        "session_id",
        path="/",
        secure=True,
        httponly=True,
        samesite="Lax"
    )
    return response

要件：
  - 特定ユーザーIDに紐づくすべてのセッションを一括削除できる

実現方法：
  - セッションストアのキーを "session:{session_id}" ではなく
    ユーザーIDで引けるように設計しておく
  - "user_sessions:{user_id}" → [session_id_1, session_id_2, ...] を別途管理し、
    ユーザーIDから全セッションIDを取得 → 一括削除

# ログイン時：ユーザーIDとセッションIDを紐づけて保存
def create_session(user_id, session_data, ttl=3600):
    session_id = generate_session_id()
    pipe = redis.pipeline()
    pipe.setex(f"session:{session_id}", ttl, json.dumps(session_data))
    pipe.sadd(f"user_sessions:{user_id}", session_id)   # セット管理
    pipe.expire(f"user_sessions:{user_id}", ttl)
    pipe.execute()
    return session_id

# 強制ログアウト：ユーザーの全セッションを削除
# 注: redis-py の decode_responses=False（デフォルト）前提。
# decode_responses=True の場合は sid.decode() は不要
def force_logout_all(user_id):
    session_ids = redis.smembers(f"user_sessions:{user_id}")
    pipe = redis.pipeline()
    for sid in session_ids:
        pipe.delete(f"session:{sid.decode()}")
    pipe.delete(f"user_sessions:{user_id}")
    pipe.execute()

【Cookieベース（サーバーサイドセッション）】

ブラウザ              サーバー              セッションストア
  ──── Cookie: session_id=SID ────▶  ──── GET session:SID ────▶
                   ◀─── {user_id, role, ...} ──
  ◀── レスポンス ─────────────────────

セッションIDはランダムな「参照キー」。実データはサーバー側に置く。


【トークンベース（JWT）】

ブラウザ              サーバー
  ──── Authorization: Bearer eyJhb... ────▶
            ↓
          署名を検証するだけ（外部ストア不要）
          ペイロードから user_id, role を取得
  ◀── レスポンス ─────────────────────

JWTはデータ自体をトークンに内包する。ストアへの問い合わせが不要。

JWTをCookieから削除 → ブラウザは送らなくなる
しかしそのトークン自体はまだ「有効」

→ 漏洩したJWTは有効期限（exp）まで使い続けられる

# JWTブラックリストの実装例（Redisを使う場合）
def logout(token: str):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])
    except jwt.ExpiredSignatureError:
        return  # すでに期限切れなので何もしなくてよい
    except jwt.InvalidTokenError:
        return

    jti = payload["jti"]
    exp = payload["exp"]
    ttl = exp - int(time.time())
    if ttl > 0:
        redis.setex(f"revoked_jwt:{jti}", ttl, "1")

def verify_token(token: str):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])
    except jwt.InvalidTokenError as e:
        raise Exception("Invalid token") from e

    jti = payload["jti"]
    if redis.exists(f"revoked_jwt:{jti}"):
        raise Exception("Token has been revoked")
    return payload

import base64, json

# JWTはBase64URLエンコードを使用（通常のBase64とは異なる）
payload_b64url = "eyJ1c2VyX2lkIjogMTIzLCAicm9sZSI6ICJhZG1pbiJ9"
# パディングを補完してデコード
padded = payload_b64url + "=" * (4 - len(payload_b64url) % 4)
print(json.loads(base64.urlsafe_b64decode(padded)))
# → {"user_id": 123, "role": "admin"}

# ❌ アルゴリズムを指定しない（alg: none 攻撃を受ける可能性）
payload = jwt.decode(token, SECRET_KEY)

# ✅ アルゴリズムを明示する
payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])

Cookieベース（サーバーサイドセッション）を選ぶケース：
  - 即時ログアウト・強制ログアウトが必要（金融、企業向けSaaS）
  - セッションの監査・管理UIが必要
  - モノリシックなWebアプリ

JWTを選ぶケース：
  - マイクロサービス間のサービス間認証（APIトークン）
  - モバイルアプリやSPAから呼ぶAPIのアクセストークン
  - 短命なトークン（数分〜1時間）で失効要件が緩い場合

□ セッションデータはシリアライズして保存する（JSONまたはMessagePack等）
□ TTLはセッション有効期限と合わせる（長すぎない）
□ Redis の障害時にフォールバックを考慮する（セッション消失 → 再ログインを許容するか）
□ Redis に保存する情報は最小限にする（個人情報や機密データは入れない）
□ 本番環境では認証（requirepass / ACL）と通信の暗号化（TLS）を有効にする

1. 絶対有効期限（Absolute Timeout）
   ─ ログインから固定時間後に必ず失効する
   ─ 例：8時間後にセッション切れ → 再ログイン必要

2. 非アクティブ有効期限（Idle Timeout / Sliding Expiration）
   ─ 最後のアクセスから一定時間操作がなければ失効する
   ─ 例：30分操作がなければセッション切れ
   ─ Redisでは `EXPIRE` を各リクエスト時に更新することで実現できる

3. 両方組み合わせる（推奨）
   ─ 「最終アクセスから30分」かつ「ログインから最大8時間」

# Redisで両方の有効期限を管理する例
def get_session(session_id):
    data = redis.get(f"session:{session_id}")
    if not data:
        return None

    session = json.loads(data)

    # 絶対有効期限チェック
    if time.time() > session["absolute_expires_at"]:
        redis.delete(f"session:{session_id}")
        return None

    # 非アクティブ有効期限を延長（スライディング）
    redis.expire(f"session:{session_id}", IDLE_TIMEOUT_SECONDS)
    return session

ユーザーが myapp.com を開く
  → ページ内の <img src="https://tracker.com/pixel"> が読み込まれる
  → tracker.com がCookieを発行・読み取りできた（従来の挙動）
  → tracker.com は複数サイトをまたいでユーザーを追跡できた

影響を受けるケース：
  - 自サービスを <iframe> として他サイトに埋め込んでいる
    例：chat widget, payment form, OAuth popup
  - 異なるドメインのサービスと認証状態を共有している
    例：myapp.com のセッションを partner.com のiframe内でも使いたい

Set-Cookie: session_id=SID_XXXX;
  Domain=.myapp.com;   ← サブドメインすべてに送信される
  HttpOnly; Secure; SameSite=Lax

Set-Cookie: session_id=SID_XXXX;
  Secure;
  SameSite=None;
  Partitioned;   ← CHIPSを有効にする属性

従来（Third-party Cookie）：
  myapp.com に埋め込まれた widget.example.com のCookie
  = news.com に埋め込まれた widget.example.com のCookie
  → 同じCookie → クロスサイトトラッキングが可能

CHIPS（Partitioned）：
  myapp.com 内の widget.example.com のCookie
  ≠ news.com 内の widget.example.com のCookie
  → 別々に保存 → クロスサイトトラッキングが不可能

# __Secure- プレフィックス：Secureフラグを強制
Set-Cookie: __Secure-session_id=SID_XXXX; Secure; HttpOnly; SameSite=Lax

# __Host- プレフィックス：Secure強制 + Path=/ 強制 + Domain属性禁止
Set-Cookie: __Host-session_id=SID_XXXX; Secure; HttpOnly; SameSite=Lax; Path=/

セッションIDの生成
□ 暗号論的に安全な乱数（secrets.token_hex / crypto.randomBytes）を使う
□ 128ビット以上のエントロピーを確保する

Cookie属性
□ HttpOnly を設定する
□ Secure を設定する（HTTPS必須）
□ SameSite=Lax（または Strict）を設定する

セッション固定攻撃対策
□ ログイン成功後にセッションIDを再生成する（regenerate）

セッションハイジャック対策
□ セッションIDはCookieのみで管理し、URLパラメータに含めない
□ URLにセッションIDが混入する機能（URL Rewriting等）を無効化する
□ User-Agentバインディングを補助的な対策として検討する（IPバインディングは非推奨）

トークン選択
□ ブラウザ向けWebアプリはCookieベースのサーバーサイドセッションを基本とする
□ JWTをセッションに使う場合は jti ブラックリストで即時失効を実装する
□ JWTペイロードに機密情報を含めない（平文でデコードされる）
□ JWT検証時はアルゴリズムを明示的に指定する

ログアウト
□ サーバーサイドのセッションデータを削除する
□ ブラウザのCookieを削除する（Max-Age=0 で上書き）
□ OIDCを使っている場合はIdPにもログアウトリクエストを送る

強制ログアウト対応
□ ユーザーIDからセッションIDを逆引きできるように設計する
□ 特定ユーザーの全セッションを一括削除できる機能を用意する

有効期限
□ 絶対有効期限と非アクティブ有効期限を両方設定する
□ リスクレベルに応じた有効期限を設定する

セッションストア
□ アプリサーバーのメモリにセッションを持たない
□ Redis を使う場合は認証・TLSを有効にする
□ セッションデータに機密情報を入れすぎない

Cookieストレージ・ブラウザ挙動
□ サブドメイン共有が不要な場合は __Host- プレフィックスを使いスコープを最小化する
□ iframeやクロスオリジン埋め込みが必要な場合はCHIPS（Partitioned）を検討する
□ サブドメイン共有でDomain属性を使う場合は侵害時の影響範囲を評価する