[OkHttp314]: https://square.github.io/okhttp/changelog_3x/#version-310
[OkHttp35]: https://square.github.io/okhttp/changelog_3x/#version-350
[chromium_change]: https://developers.google.com/web/updates/2016/12/chrome-56-deprecations#remove_cbc-mode_ecdsa_ciphers_in_tls
[googlecloud_ssl_policy]: https://cloud.google.com/load-balancing/docs/ssl-policies-concepts
[http2_denylist]: https://tools.ietf.org/html/rfc7540#appendix-A

     *       <td>Relative path → resolve against output directory</td>
     *     </tr>
     *     <tr>
     *       <td>{@code Optional.of(Path.of("WEB-INF/classes"))}</td>
     *       <td>{@code /home/user/myproject/target/classes}</td>
     *       <td>{@code /home/user/myproject/target/classes/WEB-INF/classes}</td>
     *       <td>Relative path with subdirectories</td>
     *     </tr>
     *     <tr>

This code is something you can actually use in your application, save the password hashes in your database, etc.

We are going to start from where we left in the previous chapter and increment it.

## About JWT { #about-jwt }

JWT means "JSON Web Tokens".

        assertEquals("session123", crawlingInfoHelper.getCanonicalSessionId("session123"));
        assertEquals("session123", crawlingInfoHelper.getCanonicalSessionId("session123-456"));
        assertEquals("web", crawlingInfoHelper.getCanonicalSessionId("web-config-789"));
        assertEquals("", crawlingInfoHelper.getCanonicalSessionId("-suffix"));
        assertEquals("prefix", crawlingInfoHelper.getCanonicalSessionId("prefix-"));

これでセキュリティの流れが全てわかったので、<abbr title="JSON Web Tokens - JSON Web Token">JWT</abbr>トークンと安全なパスワードのハッシュ化を使用して、実際にアプリケーションを安全にしてみましょう。

このコードは、アプリケーションで実際に使用したり、パスワードハッシュをデータベースに保存するといった用途に利用できます。

本章では、前章の続きから始めて、コードをアップデートしていきます。

## JWT について { #about-jwt }

JWTとは「JSON Web Tokens」の略称です。

JSONオブジェクトをスペースのない長く密集した文字列で表現したトークンの仕様です。例えば次のようになります：

```

 * governing permissions and limitations under the License.
 */
package org.codelibs.fess.crawler.client.http.config;

import java.util.Map;

/**
 * POJO configuration for web authentication that can be converted to
 * either HC4 Hc4Authentication or HC5 Hc5Authentication.
 *
 * <p>This class provides a library-independent way to configure

import org.dbflute.optional.OptionalThing;
import org.junit.jupiter.api.Test;
import org.junit.jupiter.api.TestInfo;
import org.lastaflute.web.response.ActionResponse;
import org.lastaflute.web.response.HtmlResponse;
import org.lastaflute.web.ruts.process.ActionRuntime;

public class FessAdminActionTest extends UnitFessTestCase {

    private Path tempDir;
    private Path varDir;
    private Path webappDir;

/// note | 技術細節

代理相關的標頭有：

* [X-Forwarded-For](https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/X-Forwarded-For)
* [X-Forwarded-Proto](https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/X-Forwarded-Proto)
* [X-Forwarded-Host](https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/X-Forwarded-Host)

///

### 啟用代理轉發標頭 { #enable-proxy-forwarded-headers }

しかし、フォームがファイルを含む場合は、`multipart/form-data`としてエンコードされます。ファイルの扱いについては次の章で説明します。

これらのエンコーディングやフォームフィールドの詳細については、[<abbr title="Mozilla Developer Network - Mozilla 開発者ネットワーク">MDN</abbr> の `POST` ウェブドキュメント](https://developer.mozilla.org/en-US/docs/Web/HTTP/Methods/POST)を参照してください。

///

/// warning | 注意

	case conf.AWSRole && (conf.AWSRoleWebIdentityTokenFile != "" || conf.AWSRoleARN != "" || conf.AccessKey != "" || conf.SecretKey != ""):
		return nil, errors.New("AWS Role cannot be activated with static credentials or the web identity token file")
	case conf.Bucket == "":
		return nil, errors.New("no bucket name was provided")
	}

	// Credentials initialization
	var creds *credentials.Credentials
	switch {
	case conf.AWSRole: