BFF パターンでトークンをブラウザの外に出す¶
最近はいつもこれで実装してる。— @riywo
背景: SPA のトークン管理問題¶
SPA(Single Page Application)で OAuth を扱う際、アクセストークンやリフレッシュトークンをどこに置くかは長年議論されてきた。
| 保存場所 | リスク |
|---|---|
| localStorage | XSS で全アクセス可能 |
| sessionStorage | XSS で同様に漏洩 |
| メモリ内変数 | ページリロードで消える・一部 XSS に脆弱 |
BFF パターンによる解決¶
(図: SVG)