APIのアプケーションを作るときに、Authorization
のheaderに認証トークン(アクセストークン)を載せてAPIを叩くことについては知っているのですが、API側で認証トークンを更新したときに認証トークンをクライアントサイドに返すときはAPIのレスポンスに含めて返しても問題ないか知りたいです。
トークンを持たないもしくは期限切れのユーザーがアクセスしてきたら、再度ログインしてもらってトークンを再発行するのが良いと思いますけど、そうしない事情があるのですか?
期限期間内にアクセスしてきたユーザーを想定しており、認証トークンをよりセキュアにするためにAPIを呼び出すたびに認証トークンを更新したいと思い質問させて頂きました。
その際に更新した認証トークンをresponseのheaderに載せて返すべきか、そのままJSONで返してもよいかについて質問させて頂いた次第です。
ご指摘内容を考えると、都度更新しなくてもセキュリティはそれなりに担保されるという背景でご指摘を頂いたのでしょうか?
質問者さん、無言ですが、放置しないでクローズしてください。不明点などあればそれを書いてください。とにかく無言で放置は NG です。
すいませんでした。今後は気をつけるようにいたします。
回答2件
あなたの回答
tips
プレビュー