• [AWS Black Belt Online Seminar] Amazon Cognito 資料及び QA 公開 Amazon Web Services ブログ

    Q. ブラウザにおいて、Cognito にログインして取得した idToken,AccessToken はどこに保存しておくのが安全なのでしょうか。localStorage に保存するのは危険だという記事を見たのですが、Cookie でやりとりすべきなのでしょうか?
    A. どこに保存するか、どのように扱うかなどは、アプリケーションにとってのリスクを総合的に判断頂き、決定頂ければと思います。Amazon Cognito Identity SDK for JavaScript、Amplify Library を利用する場合、Local Storage のみならず、Session Storage、Cookie に加え、お客様が独自に定義したストレージクラス経由で任意の方法でデータを保持させる事が可能となっています。

  • JWTを使った今どきのSPAの認証について HiCustomer Lab - HiCustomer Developer's Blog

    AWS AmplifyはlocalStorageにJWTを保存
    悪意のあるThird partyライブラリが混ざっていたらJWTを抜かれる。
    yarn.lockが依存している全ライブラリを監査することはつらい。

  • SPAセキュリティ入門~PHP Conference Japan 2021
    HTML5のLocalStorageを使ってはいけない理由がまとまっている