API バックエンドを使用して Angular アプリを構築しています。いくつかのアドバイスを組み合わせて、トークン認証のフレーバーを備えた API を作成しました。おおまかな流れは以下の通りです。
- 認証情報を使用してログイン エンドポイントに POST
- 資格情報と承認を検証してから、新しいトークンを生成します
- トークンをクライアントに返す
- クライアントは HTTP Basic 経由でトークンを使用して API リソースにアクセスします
これはすべてうまくいっています。このトークンに基づいてセッションを作成する際に問題が発生します。クライアントのトークンを単に Cookie に保持する必要があるとは思いませんが、ページの更新間などに永続化するためにセッションが必要です。私の Angular アプリはステートレスであり、API 呼び出しによって完全に入力されます。
クライアントでこのトークンを保持することに関する推奨事項を探しています。トークンを Cookie に保持することには危険があると感じています。Cookie が盗まれ、単に他人として認証するために使用される可能性があるためですが、おそらくこれは正しくありません。
ご協力いただきありがとうございます。