[AWS Black Belt Online Seminar] Amazon Cognito 資料及び QA 公開 Amazon Web Services ブログ
Q. ブラウザにおいて、Cognito にログインして取得した idToken,AccessToken はどこに保存しておくのが安全なのでしょうか。localStorage に保存するのは危険だという記事を見たのですが、Cookie でやりとりすべきなのでしょうか?
A. どこに保存するか、どのように扱うかなどは、アプリケーションにとってのリスクを総合的に判断頂き、決定頂ければと思います。Amazon Cognito Identity SDK for JavaScript、Amplify Library を利用する場合、Local Storage のみならず、Session Storage、Cookie に加え、お客様が独自に定義したストレージクラス経由で任意の方法でデータを保持させる事が可能となっています。
JWTを使った今どきのSPAの認証について HiCustomer Lab - HiCustomer Developer's Blog
AWS AmplifyはlocalStorageにJWTを保存
悪意のあるThird partyライブラリが混ざっていたらJWTを抜かれる。
yarn.lockが依存している全ライブラリを監査することはつらい。
SPAセキュリティ入門~PHP Conference Japan 2021
HTML5のLocalStorageを使ってはいけない理由がまとまっている