SPAにおけるトークンベースのトークン管理について

実現したいこと

SPAにログイン機能を実装する

前提

トークンベース認証とセッションベース認証について様々な意見を見た中で、SPAでは頻繁にAPIリクエストを送る関係でトークンベースが使われている(毎回認証が必要なくなる)という結論に達した。
そのため、JWTを使用して認証サーバーの構築を進めていきたい。

疑問

一般に
・アクセストークンは期限を短くする
・リフレッシュトークンは期限を長くする
したがって、アクセストークンの漏洩等のリスク低減になりうる。
という記事があり、それは理解できた。
ただ、ブラウザでセッションを管理するとなると現状CookieにhttpOnly属性をつけて保存するのがセキュリティ的にましだと考えたのですが、その方法だとどちらも毎回通信時にCookieを送る=漏洩の危険性に関しては同等になりませんか?
リフレッシュトークンの運用方法についてはどのように実装すれば良いのでしょうか?

コメントを投稿

0 コメント