はじめに Webセキュリティの第一人者である徳丸浩氏が X で、JWT と Cookie セッションの関係についてこんな投稿をされていました。 これはウェブAPI呼び出しの歴史から考えると腑に落ちるのですが、CORSの機能にCookie付与があることからもわかるように、 (1) 昔はクロスオリジンのAPIをCookieによるセッション管理で呼び出す方法が用いられていましたが、 (2) サードパーティクッキー規制などでそれが難しくなり、Authorizationヘッダによるトークン(保存先はlocalStorage)に変わるものの、 (3) 各APIの生トークンをクライアントに保持するのはやはり危険ということでBFFにトークンを隔離すると、 (4) もはやJWTによるセッション管理をクライアントでする必要はないということで伝統的なCookieによるセッション管理に回帰するという流れで考えると

