Мы используем Keycloak для аутентификации наших серверных приложений (Java / Spring / Thymeleaf), и теперь мы хотим использовать его для наших SPA (Angular для GUI и Spring для API).
Используя быстрый запуск Angular, токен устанавливается в заголовке авторизации (как вы можете видеть ниже).Мой вопрос может показаться глупым, но поскольку Javascript всегда сможет получить доступ к токену: не является ли это огромной уязвимостью?(в случае XSS)
Было бы лучше использовать cookie только для http?
Пример запроса к API с помощью углового быстрого запуска:
- Request URL:
https://my-app.com/my-resource
- Request Method:
GET
- Response Headers
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://my-app.com
- Request Headers
Authorization: bearer eyJhbGciOiJSUzI1N.............
Origin: https://my-app.com
Referer: https://my-app.com/
User-Agent: Mozilla.............
Ссылка на угловой быстрый запуск : https://github.com/keycloak/keycloak-quickstarts/tree/latest/app-angular2