OAuth2ベアラトークンリフレッシュ戦略

Question

私は自分のOAuth2サーバーをNode.jsとnode-oauth2-serverライブラリを使用して作成した後、これに続いてtutorialとします。

このような認証システムを実装した後のこの時点での問題はこれです。

これで、クライアント側にベアラトークンを保存することができ、ユーザーは毎回ログインする必要はなく、クレデンシャルを保存する必要もありません。

しかし、私はまだベアラートークンを保存しています。盗まれた場合、誰もトークンの元の所​​有者に同じアクセスを許可します。彼らは自分自身に、両方のサーバーに保存されている

ベアラトークンを（ログアウトしない限り、ログインユーザー

1. は再ログインする必要はありません：私は、以下のルールを適用することができるようになりました取ることができますどのような戦略

   &ハッカーを阻止するためにクライアントサイドが常にリフレッシュされます）

2. ユーザーのベアラトークンが侵害されたときの状況を検出して処理します。ここで

Answer 1

あなたが悪意のあるJavaScriptがトークンにアクセスできないことを確認するために従わなければならないいくつかのルールです：

1. は、HTTPS経由ですべてのページをサーブ。
2. JavaScriptやCSSなどのコンテンツを読み込むために、CDNやその他の信頼できないドメインを使用しないでください。そうした場合、そのコンテンツはlocalStorageまたはcookieにアクセスできます。
3. ユーザー入力によって生成された動的コンテンツをレンダリングするときは、常にユーザーコンテンツの新しいスクリプトの読み込みを防止するXSS escapingを実装します。これはデフォルトでAngularとReact.jsで有効になっています。