どうして JWT をセッションに使っちゃうわけ？ - co3k.org

長文化しているのは問題点を細かく説明しないと理解できない人がいるので止むを得ず整理しているわけであって長文である事を批判する（つまり説明されずとも内容を理解済み）人向けではないと思うのだが。違うのかね

JWT認証、便利やん？ - ブログ

論点がずれてる気がする。ようは理解しないで使う人間はなんなのよ？という話で理解している人はぶっちゃけ何をどうやって実装してもご自由にという話かと。ようは道具を使う事を目的とするなよ、って話だと思うが。

 

個人的には有益な議論かと。

 

つまり、わかっている人からすると「いや、そんなこと当然でしょ？」なんだけども、それを理解していない人が実際には多数いるので、その事例について如何ともし難いあれやこれをどうしてくれようという話かと。

 

実際問題、最初の記事も細部では「ん？そうしちゃう？」的なものはあるわけだけど、それ自体が論旨ではないので、そこを突いてもしょうがないのだと思う。

タイトルや方向が「正しいJWTとの戯れ方」だったらあれだけどね。

 

特にこの界隈はいわゆる「流行り・廃り」で技術的方向性を決めちゃう人は一定数というか、まじ、お前、それ、理解してないよね？的な勢いで突っ込んじゃう人もかなりいるので、そういった意味では「使う必要があるなら使えばいい。だが、なぜそれを使う必要があるかは理解してから使え」という事を表明する事は定例行事であると思う。

 

で、重要なのは後者の記事でも触れている「トレードオフさえ許容できれば」という部分で、前者の記事でも「充分なリスクの見積もりをせずセッションに使う事例」と上げているように、「正しくリスクを理解できてない＝間違ったトレードオフを行っている」というケースについての議論であって、そこを「正しく評価できている」という前提にしちゃうとちょっと議論がかみ合わなくなると思う。

 

もっとも、後者の記事は、私が感じるに前者の記事の個別・各論の部分のちょっとそれそうしちゃう系？という点について意見表明をする事が主たる目的になっているのでは？とも思うので、最初からそれぞれの記事の論旨はずれているのであって、永遠に出会う事はないのかなと思います。

 

正しい・正しくないではなくて、そういったケースがあるんだけど困っちゃうんだよね、という事例でしかないかと。

 

同様の話として後者の記事でいえば「FirebaseやAuth0でも対応している認証方法です」と記述して、だから大丈夫なんですよ？的な雰囲気を醸していますが、いやいやそれ知らないで使う人が地雷踏んじゃうやつだから…という突っ込みと同じです。

その突っ込みも、結局は「いや、それ、正しく使えないやつの問題でFirebaseの問題じゃないよね？」という話になるのと同じですよね。

 

Firebaseを正しく使うってのは、正直それほど難しくはないのですが、実際問題コピペのみで実装しちゃう人もいるわけで、おう、ロールってなんだっけ、権限ってなんだっけというスタートライン以前の次元の人もいる状況を考えると、そういった人がひゃっほーJWTサイコーとかいって、地雷踏んでその処理を自分がやらされると考えると、鈍器のようなもので…という不幸な思考に陥る事も否定はできないかなと。

 

あとは認証絡みはどのようなサービス・アプリで使われるのか？という事の方が技術的優先度が高くて、手法なんてものはそれ以上にクリティカルな問題が生じない限りは正しく使えるならなんでもいい、正しチームで共通のレベルで正しく使えるなら、という事に過ぎないのかなと思います。

 

というか、そのあたりのロジックが選択肢もないほどセンシティブな状況であれば、おおよそ対応するのはそれなりの技術者なのでこのような話の対象ではないだろうし、どちらかというと、どうでもいいようなケースで勢いとノリで使っちゃう系の話だと想像しているので。

 

という感じで、結局エディタの宗教戦争と同じで、使える人は使えばいい、という話でしかないなぁというのが個人的な意見ですかね。