Вход в Google с помощью Spring Boot Security и React

Question

Я использую вход в Google для входа в свое приложение.Где я должен хранить токен доступа и обновить токен?В нескольких сообщениях я прочитал, что хранить эти токены на входной стороне небезопасно.Это поток, который я прочитал в большинстве постов:

1. Пользователь нажимает кнопку входа с помощью кнопки Google, а интерфейс выполняет весь процесс авторизации.

2. Внешний интерфейс отправляет токен бэкэнд-API, а бэк-апис проверяет его и выполняет дальнейшую пользовательскую обработку.

Теперь, мой вопрос заключается в том, что если бэкэнд-API требуется токен в каждомзапрос, то интерфейс должен хранить его где-то (что небезопасно).И если я храню токены в бэкэнде, то как интерфейс взаимодействует с бэкэндом в последующих запросах?

Answer 1

Вы бы предпочли оставить сервер без сохранения состояния, что означает, что в случае неожиданного сбоя сервера каждый пользователь не должен повторно проходить аутентификацию.Также, как вы упомянули, вам необходимо сохранить токен во внешнем интерфейсе для проверки последующих запросов.

Обычно вы сохраняете его в cookie или иногда в localStorage в браузере.Поскольку вы упоминаете, что хранение токенов может быть небезопасным, однако, учитывая, что хранение токена в cookie-файле более или менее уязвимо только для CSRF, я бы посчитал это хорошим вариантом.

Вот статья, которую я нашелесли вы хотите прочитать еще: https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage