11

ブラウザに oauth リフレッシュ トークンを保存したい。そこに保存したい理由は、アプリがアクセストークンを更新して、ユーザーがセッションを中断せずに続行できるようにするためです。また、トークンを格納するためにサーバー上のあらゆる種類のキャッシュの必要性を排除し、ステートフルにしたいと考えています。

更新トークンをブラウザーに保存するのは安全ではないため、間違っていると言われました。

次の理由で問題ないと思います。

  • トークンは httpOnly の安全なセッション Cookie に保存されるため、XSS や中間者攻撃に対して脆弱ではなく、ユーザーがセッションを閉じると破棄されます。
  • サーバーへのすべての通信は HTTPS 経由で行われます
  • 不審なアクティビティが検出された場合、更新トークンを無効にすることができます
  • 最も重要なことは、サーバーだけが知っているクライアント シークレットを知らない限り、更新トークンを使用できないことです。

大丈夫だと思うのは間違っていますか?理由を説明してください!

4

2 に答える 2

0

実際には、トークンをブラウザーに保存できます。ソリューションに適した保存メカニズムを知る必要があります。たとえば、ローカル ストレージでは安全性が最も低くなります。バックエンドとシングル ページ アプリが同じドメインにある場合は、Cookie を使用することをお勧めします。

Auth0 Web サイトには、それに関するいくつかの推奨事項があります。

Auth0 シングル ページ アプリ SDK を使用することをお勧めします。Auth0 SPA SDK は、トークン ストレージ、セッション管理、およびその他の詳細を処理します。

詳細については、ここをクリックしてください

于 2019-11-13T10:31:46.907 に答える