0
SPA(Bootstrap/Angular)と独立したサービスレイヤー(.Net)を開発しました ユーザーは、まず別のIdPにリダイレクトされることなく、サインインすると、SPAにIDトークンを付けてリダイレクトされます。SPA OpenID Connectセキュリティの問題
ユーザーが最初に登録すると、情報が照合され、返されるたびに検索のために新しいアカウントに関連付けられます。
私たちの意図は、フロントエンドの状態を管理し(ほとんど)、バックエンドを完全にステートレスに保つことです。そのため、APIに対するすべてのリクエストはバックエンド(JWTトークンの署名と申し立ての検証)ユーザーのID(IDトークン)を取得し、承認された場合(「セキュリティレベル」クレームに基づいて)応答を提供します。
私たちのSPAからのリクエストのみを受け入れるようにCORSを設定しましたので、幾分助けてください。私の心配は誰かがトークンを何とか盗んで、それを使ってユーザーに関する情報を見つけることができるということです。
これは実際の可能性ですか、私はいくつかのより大きなセキュリティ上の脆弱性を逃していますか?
おかげ