知りたいこと
OAuth2の認可フローを以下の構成で行う場合の最適な構成はどのようになるでしょうか。
フロントエンド: React(SPA)
バックエンド: Express(serverless framework, AWS Lambdaを使用)
考えていること
①ユーザーにID, passwordを入力させ認証を行いフロントエンド側で認可コードを取得
②認可コードをバックエンドに送り、バックエンド側の環境変数に設定されている client_id, client_secret と共に認可サーバーに送信
③認可サーバーが返す access_token, refresh_token をバックエンド経由でフロントエンドに返し、Local Storage に保存
④access_token を付与してバックエンド経由でその先の外部APIにリクエスト
上記のフローを考えていますが、推奨されない事項等あればご指摘願いたいです。
その他気になっていること
oauth-proxy ( https://github.com/oauth2-proxy/oauth2-proxy ) を使うと良い、という記事を複数読みましたが、今回の場合もこれを使うメリットはありますでしょうか。
0 コメント