認証が必要なAPIサーバを開発する際の主流は以下の流れだと思います。
1. クライアントからID/Passwordを含めたログインリクエストを送る 2. サーバ側でID/Passwordを検査して、正しければアクセストークンを発行、返却する 3. クライアント側でアクセストークンをlocalStorage等に保存して、認証が必要なリクエスト時に付与する
このとき、アクセストークンの代わりにID/PasswordをlocalStorageに保存して、
毎回リクエストに含めてサーバ側で毎回認証させる場合のデメリットはどのようなことが考えられるでしょうか。
自分なりに考えた点は以下の通りですが、ご指摘いただけると幸いです。
・外部に認証APIを公開するためにトークン化が必要
・毎回、認証処理が必要となりアクセストークンの妥当性確認よりもコストが重くなる
・通信時にID/Passwordが漏洩するリスクが高くなる
(ログイン時には漏洩するリスクがあり、そこまで意味はない気がします)
・localStorageからID/Passwordが漏洩する
(アクセストークンが漏洩した場合も問題ですが、ブラックリスト等により対策が容易?)
よろしくお願いいたします。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。