Звучит так, будто вы хотите создать модель, основанную на API-интерфейсе обозревателя браузера, которая, безусловно, является наиболее привлекательной в архитектурном отношении.
Это может быть первым шагом к архитектуре одностраничного приложения, которая стремится обеспечить самое простое и чистое решение.
См. Open Id Connect для приложений браузера для новейших стандартов.
- В SPA пользовательский интерфейс не имеет файлов cookie и является общим для хранить кратковременные токены доступа в HTML5 хранилище сеансов, что означает, что пользователь может обновить sh страницу в порядке
- Это правда, что все области извлекаются после входа в систему, но если вы сохраняете области простыми и авторизуетесь в Ваш API основан на правах пользователя. Вы можете уменьшить это
. Вышеуказанное хранилище токенов является поведением по умолчанию для сертифицированной OID C Клиентской библиотеки и широко используется.
Существует риск межсайтового скриптинга: вредоносный контент на вкладке браузера может получить токен и вызвать API - но вы должны защищать в любом случае против этого.
Старые решения, такие как использование файлов cookie для проверки подлинности, обычно имеют свои собственные (и более серьезные) риски, такие как подделка межсайтовых запросов, когда любой вредоносный контент на любой вкладке браузера может отправить повара ie к вашему API.
Оценка необходимости использования HTML5 хранилища токенов - это больше, чем просто технический механизм - речь идет о приемлемых компромиссах в отношении удобства использования и того, что можно сделать с токеном. Мой пост в блоге о хранилище токенов пользовательского интерфейса углубляется в это.
Если это поможет, в моем блоге также есть довольно много постов и примеров кода на SPA, на случай, если это будет интересно.