私たちのモバイルアプリは、pkce flowで取得したaccess tokenローカルのストレージに保存します。そのtokenを利用してAPIを利用しています。
私たちはaccess tokenの保存場所をbackendに移動することにしました。モバイルアプリはbackendを介してAPIを利用するようになります。
上記の改修をしたとします。モバイルアプリが初回にbackendにリクエストした際、backendにはaccess tokenが存在しないので、backendはauthorization flowを開始するでしょう。通常であればauthorization codeの取得の際にcredentialを入力して認証を行います。しかし、その際の認証に、以前にpkce flowで取得したローカルストレージに存在するaccess tokenを利用するのは妥当でしょうか?backendは渡されたaccess tokenを検証し、要求されたscopeが同一か、revokeされていないかを確認し、妥当であれば認証完了扱いとします。これによる何らかの問題点はありますか?
なぜローカルストレージに存在するaccess tokenをbackendにマイグレーションしないのかという問いは置いておいてください。
よろしくお願いします。
あなたの回答
tips
プレビュー