API設計のベストプラクティスについて詳しい方の意見が聞きたいです。
現在、PHPにてステートレスAPIの設計を行っております。
ウェブの記事なんかを見ると、トークンの保存にブラウザのlocalStorageを使う記事をよく見ます。
疑問に思っていることは
・localStorageにトークンを保持しておくのはXSSに対して脆弱ではないか?
・サーバーサイド側でhttp onlyなCookieとしてトークンを保存する場合セキュリティは高められるが、ステートフルになるのではないか?
と言うことです。
この場合のトークンの保存にはどう言う設計が正しいのでしょうか?
また理解が乏しいため、見当違いのことを言っていたらすみません。
わかりやすく教えていただけると助かります。
回答1件
あなたの回答
tips
プレビュー