Abbiamo lavorato con ZPS che POST attraverso le credenziali all'API e riceviamo indietro un JWT (token di accesso) e un token di aggiornamento. I token sono memorizzati, a seconda del "keep me logged in", nella memoria di sessione o nella memoria locale.
Esaminando link , suggeriscono (tramite OAuth 2.0, sicuro, ma lo stesso concetto penso) che le SPA non dovrebbero essere considerate attendibili con token al portatore. Invece, dovremmo fare un'autenticazione silenziosa tramite (nel loro caso) avere un iframe nascosto e afferrare direttamente il token di accesso.
Fondamentalmente, la mia domanda è: perché il consiglio qui, "SPAs non può usare i token di aggiornamento" ? Nel loro esempio di utilizzo di un iframe, immagino ci sia un cookie memorizzato per il loro dominio di login OAuth - come è intrinsecamente migliore?
Cos'altro potrei mancare?
Modifica: ho ragione nel ritenere che l'XSS sia più possibile quando si utilizza l'archiviazione di sessione, CSRF è più possibile quando si usano i cookie, e quindi la risposta è, se si ha una confidenza elevata, uno di quelli (XSS / CSRF) è protetto contro, allora quella memoria associata (sessione / cookie) è la strada da percorrere?