2026年JWTセキュリティのベストプラクティス

JWTは数百万のアプリで認証を担い、同じ脆弱性を繰り返し出荷します。

アルゴリズムを固定

jwt.verify(token, secret, { algorithms: ['HS256'] });

強いシークレット

openssl rand -base64 32

短い寿命

アクセストークンは5-15分。

すべてのクレームを検証

issuer, audienceの検証を欠かさない。

保管場所

• アクセス: メモリのみ
• リフレッシュ: httpOnlyクッキー
• 禁止: localStorage