私は過去に、クライアント側の$ window.sessionStorageにユーザートークンを格納する手回しアプリを実行しました。ユーザー認証 - oAuth質問
私はそれ以来、これは安全ではないことを認識しています。私は今、私が作るノード/エクスプレスバックエンドAPIを使用するアプリケーションを保護する最も安全で標準的な方法を探しています。また、Web用の角度やネイティブモバイルアプリなどのこのAPIにリクエストを行うフロントエンドを使用します。さらに、ブラウザを終了するたびに、$ウィンドウのセッションストレージが消去されたため、再ログインする必要がありました。
私がこれまで研究してきたことから、あなたがハンドリングしようとしている場合に最も安全な方法の1つは、HTTPのみの安全なクッキーにjwtを格納することです。
しかし、私はoAuthのような既に存在するサービスを使いたいと思っています。カップルの質問:
1)oAuthはあなたのユーザーベースのオーナーシップを維持するうえでどれくらい安全ですか?今から3年後には、急に急に、またはゆっくりと消えてしまいますか?すべてのユーザーが技術的にサーバーに保存されているわけではありませんか?ユーザーを自分のアプリにネイティブに保つにはどうすればよいですか?
2)私がsnapchat、twitter、tumblrなどと同じ分野でスタートアップアプリケーションを作成しようとしている場合は、oAuthのようなサービスを使用して認証を処理することをお勧めしますか?もちろん、将来は不明ですが、私のアプリが何百万人ものユーザーに届くと仮定した場合、oAuthのようなサービスを使用するのは賢明な選択ですか? oAuthを使い始めると、1年か2年で自分のデータベースにユーザーを格納することになることはありません。
ありがとう
勧告はSOに*明示的に*オフトピックです。 – jonrsharpe
何についてお勧めしますか? –
すべて、認証プロトコルとサービスが含まれています。 – jonrsharpe