7c912df00c092d79d564a7e9abf9ad00f07e0817
aws/cognito/token\343\201\256\347\256\241\347\220\206\346\226\271\346\263\225\343\201\253\343\201\244\343\201\204\343\201\246.md
| ... | ... | @@ -0,0 +1,14 @@ |
| 1 | +[[AWS Black Belt Online Seminar] Amazon Cognito 資料及び QA 公開 Amazon Web Services ブログ](https://aws.amazon.com/jp/blogs/news/webinar-bb-amazon-cognito-2020/) |
|
| 2 | + |
|
| 3 | +> Q. ブラウザにおいて、Cognito にログインして取得した idToken,AccessToken はどこに保存しておくのが安全なのでしょうか。localStorage に保存するのは危険だという記事を見たのですが、Cookie でやりとりすべきなのでしょうか? |
|
| 4 | +A. どこに保存するか、どのように扱うかなどは、アプリケーションにとってのリスクを総合的に判断頂き、決定頂ければと思います。Amazon Cognito Identity SDK for JavaScript、Amplify Library を利用する場合、Local Storage のみならず、Session Storage、Cookie に加え、お客様が独自に定義したストレージクラス経由で任意の方法でデータを保持させる事が可能となっています。 |
|
| 5 | + |
|
| 6 | +[JWTを使った今どきのSPAの認証について HiCustomer Lab - HiCustomer Developer's Blog](https://tech.hicustomer.jp/posts/modern-authentication-in-hosting-spa/) |
|
| 7 | + |
|
| 8 | +> AWS AmplifyはlocalStorageにJWTを保存 |
|
| 9 | +悪意のあるThird partyライブラリが混ざっていたらJWTを抜かれる。 |
|
| 10 | +yarn.lockが依存している全ライブラリを監査することはつらい。 |
|
| 11 | + |
|
| 12 | + |
|
| 13 | +[SPAセキュリティ入門~PHP Conference Japan 2021](https://www.slideshare.net/ockeghem/phpconf2021spasecurity) |
|
| 14 | +HTML5のLocalStorageを使ってはいけない話 |
|
| ... | ... | \ No newline at end of file |