<p>こんばんは、ritou です。</p>
<span class="embed-block zenn-embedded zenn-embedded-tweet"><iframe id="zenn-embedded__60d3dbe29937a" src="https://embed.zenn.studio/tweet#zenn-embedded__60d3dbe29937a" data-content="https%3A%2F%2Ftwitter.com%2Fritou%2Fstatus%2F1441698510072516614" frameborder="0" scrolling="no" loading="lazy"></iframe></span>
<p>今日は　<strong>JWTの無効化の方法はいっぱいあるよ</strong> って話を書きます。</p>
<h2 id="%E5%8D%98%E4%BD%93%E3%81%A7%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(jti%2C-%E6%96%87%E5%AD%97%E5%88%97%E5%85%A8%E4%BD%93%E3%81%AE%E3%83%8F%E3%83%83%E3%82%B7%E3%83%A5)">
<a class="header-anchor-link" href="#%E5%8D%98%E4%BD%93%E3%81%A7%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(jti%2C-%E6%96%87%E5%AD%97%E5%88%97%E5%85%A8%E4%BD%93%E3%81%AE%E3%83%8F%E3%83%83%E3%82%B7%E3%83%A5)" aria-hidden="true"></a> 単体での無効化(jti, 文字列全体のハッシュ)</h2>
<p>これが最も一般的な <strong>JWT無効化の方法</strong> と言えるかもしれません。</p>
<p>ちょっと前に話題になった「Stateless」なユースケースにおける無効化できないみたいな話に絡むところでしょう。</p>
<blockquote>
<p>The "jti" (JWT ID) claim provides a unique identifier for the JWT.</p>
</blockquote>
<p>例えば失効対象の <code>jti</code> のリストを管理することで無効化判定ができるでしょう。<br>
有効期限を持つかどうかにより対象の <code>jti</code> をいつまで保持するか、などの細かい要件は変わります。</p>
<p>これ以外にも、<strong>JWTに含まれる claim を利用した検証</strong> ってのは <strong>無効化管理/判定</strong> をしていると言いかえることもできます。</p>
<h2 id="%E6%99%82%E5%88%BB%E3%81%A7%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(iat%2C-exp)">
<a class="header-anchor-link" href="#%E6%99%82%E5%88%BB%E3%81%A7%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(iat%2C-exp)" aria-hidden="true"></a> 時刻での無効化(iat, exp)</h2>
<p>ほとんどのユースケースで <code>exp</code> の値と現在時刻の値を比較することで無効化の判定をしているでしょう。<br>
<code>iat</code> の値を利用して <strong>この時刻以前に生成されたJWTは無効</strong> と言う判定も可能です。</p>
<p>例えば、<strong>パスワード変更したら既存のセッションを無効化したい</strong> みたいなときにパスワード変更日時をDBに保持していたら既に発行済みのJWTの <code>iat</code> と比較して無効化判定ができます。</p>
<h2 id="%E5%AF%BE%E8%B1%A1%E8%80%85%E5%8D%98%E4%BD%8D%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(sub)">
<a class="header-anchor-link" href="#%E5%AF%BE%E8%B1%A1%E8%80%85%E5%8D%98%E4%BD%8D%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(sub)" aria-hidden="true"></a> 対象者単位の無効化(sub)</h2>
<p>例えばユーザーIDが　<code>sub</code> の値に含まれている場合、 <strong>ユーザーDBを引いてそのユーザーが存在しない(退会した)とかの場合は無効である</strong> という判定ができるでしょう。</p>
<h2 id="%E9%80%81%E4%BF%A1%E5%85%83%2F%E5%8F%97%E4%BF%A1%E8%80%85%E3%81%A7%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(iss%2C-aud)">
<a class="header-anchor-link" href="#%E9%80%81%E4%BF%A1%E5%85%83%2F%E5%8F%97%E4%BF%A1%E8%80%85%E3%81%A7%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(iss%2C-aud)" aria-hidden="true"></a> 送信元/受信者での無効化(iss, aud)</h2>
<p>このあたりも同様ですね。</p>
<h2 id="%E9%8D%B5%E5%8D%98%E4%BD%8D%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(kid)">
<a class="header-anchor-link" href="#%E9%8D%B5%E5%8D%98%E4%BD%8D%E3%81%AE%E7%84%A1%E5%8A%B9%E5%8C%96(kid)" aria-hidden="true"></a> 鍵単位の無効化(kid)</h2>
<p>まだまだあまり鍵の追加、更新を意識してJWTを使う開発者が少ない気がしますが、</p>
<ol>
<li>ある時点で有効な鍵(A)の情報を <code>jwk_uri</code> で提供している</li>
<li>新しく署名生成/検証に利用する鍵(B)の情報を <code>jwk_uri</code>　に追加</li>
<li>その鍵(B)を利用してJWTを生成開始</li>
<li>鍵(A)のJWTを無効にしたいときは <code>jwk_uri</code> から削除</li>
<li>鍵(A)のJWT検証時に無効判定</li>
</ol>
<p>みたいな流れはあり得るでしょう。</p>
<h2 id="%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0%E5%8D%98%E4%BD%8D%E3%81%A7%E7%84%A1%E5%8A%B9%E5%8C%96(alg)">
<a class="header-anchor-link" href="#%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0%E5%8D%98%E4%BD%8D%E3%81%A7%E7%84%A1%E5%8A%B9%E5%8C%96(alg)" aria-hidden="true"></a> アルゴリズム単位で無効化(alg)</h2>
<p>このアルゴリズムは対象外とする！<br>
みたいな場合は <code>alg</code> を用いた判定をすることもありそうです。</p>
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
<p><strong>検証可能な claim の数だけ無効化の実装方法がある</strong> と言えるでしょう。</p>
<p>ではまた。</p>


JWTの無効化実装例

単体での無効化(jti, 文字列全体のハッシュ)

送信元/受信者での無効化(iss, aud)

アルゴリズム単位で無効化(alg)

Discussion