Oauth2アクセストークンセキュリティの問題+角度2

Question

ローカルストレージにgoogle oauth2からのアクセストークンを保存しています。さて、問題は、これはセキュリティ問題です。別のユーザーがブラウザからローカルストレージの値をコピーし、自分のアカウントにアクセスするためのURLを入力することができます。アクセストークンは一般にローカルストレージまたはセッションストレージにのみ格納されるため、これをどのように解決できますか。セキュリティ侵害を引き起こす可能性がある、脆弱性は60分のために存在し、

this.expiresTimerId = setTimeout(() => { 
      console.log('Session has expired'); 
      this.doLogout(440); 
     }, 3600); 

しかし：私たちはこのように、60分を言った後にログアウトを与えることができます。これを避ける方法は？

Answer 1

アクセストークンを「他の誰かが私のコンピュータに侵入し、私のオープンセッションを悪用する」という攻撃に対して（アクセストークンがクライアントのIPアドレスにバインドされて使用されている）

localStorageの代わりにsessionStorageを使用することで、状況を改善することができます。ブラウザのタブが閉じられたときに値が削除されます。

攻撃者がデータを変更したり機密データを表示したりする操作は、オンラインバンキングシステムと同じように再認証する必要があります。