オフライン時にログインページからプログレッシブWebアプリケーションを使用する方法

Question

Drupal 8サイトをプログレッシブWebアプリケーションに変換しようとしています。サービスワーカーを使用しているユーザーが訪問したすべてのページをキャッシュしました。ユーザーがオフラインでログインページからWebアプリケーションを使用できるようにユーザーログインをキャッシュすることは可能ですか？

Answer 1

どのような方法で実装しても、常にセキュリティリスクが発生します。

ネイティブアプリケーションと同様に、明らかなセキュリティ上の理由からログインサービスをキャッシュできないものの、ユーザーはログインしたままにすることができます。つまり、ログインしていないとログインできないため、

アプリケーションがオフラインで動作しており、認証が必要な場合、リスクは誰かがデバイスを保持するということです。ネットワーク上にはトラフィックがないため、攻撃対象が最小限に抑えられ、MitM攻撃や盗聴による認証Cookieの保持を心配する必要はありません。

オフラインでの認証の正確な使用方法を理解することが役立つと思います。私たちが出荷カート（または別のユーザーの旅）について話しているのであれば、ユーザーを認識するために使用される暗号化されたトークン（ユーザーID +塩に基づいて）を保存することをお勧めします。これらは、インターネットに接続している間にログインに成功したときに追加され、現在どのユーザーがサイトにアクセスしているかを区別するために使用されます。

機密データにアクセスするための認証が必要な場合は、機密データがデバイスに保存されないようにそのデータを表示する接続が必要になることをお勧めします。ローカルに格納されている場合は、認証に関係のないセキュリティ上のリスクがあります。