サーバー側としてプレイフレームワークを使用したAngular js Webアプリケーションがあります。Google プラスのサインイン ボタンを使用してユーザーを認証しています。サーバー側ですべての ajax 呼び出しを認証する必要があります。ネットで入手可能なドキュメントを調べた後、それぞれについていくつかのオプションと質問があります。
フックアップ ポイント: Javascript Google サインインは、サインインに成功すると、javascript メソッドを呼び出します。コールバックとともに返される id_token は、ここで推奨されているように、サーバー側で再度検証する必要があります。したがって、サーバー側の呼び出しのこの時点で、上記のオプションを追加できます。
- HttpOnly Cookie を使用し、各 ajax 呼び出しで確認します。これにより、CSRF 攻撃も防止できると確信できますか?
- XSRF-TOKEN Cookie を設定しますが、HttpOnly = false として設定する必要があります。そうして初めて、angularjs はそれを読み取って、そこから発信されるすべてのリクエストで X-XSRF-TOKEN ヘッダーとして設定できるようになります。JavaScript で読み取り可能な Cookie を公開し、後でそれが安全であることを信頼するのは安全ですか?