現在、私の認証フローは次のとおりです。
ユーザーはクライアント ブラウザー アプリ (正確には AngularJS) でログイン フォームに入力し、ユーザー名とパスワードはブラウザーのメモリ (プレーンな Javascript 変数) に保存されます。
保護された API リソースにアクセスする場合、要求は、メモリに保存されている資格情報を使用して SSL 経由の HTTP 基本認証で認証されます。
問題は、ユーザーがページを更新すると、資格情報が消去され、再度サインインする必要があることです。ここで明らかな何かが欠けていますか?
これまでに見つけたいくつかの解決策:
ユーザー名とパスワードを Cookie に保存する: 安全な Cookie や暗号化を使用している場合でも、これは明らかに安全ではないようです。
セッション Cookie を使用します。これは、RESTful なステートレスの原則に反しているようです。
(OAuth には、アクセス トークンをクライアントに安全に保存するという同じ問題があると思いますか?)