Sto utilizzando il flusso del codice di autenticazione OAuth per generare accesso e aggiornare i token e quindi li memorizzo in due cookie del browser che sono not HttpOnly e che li inviano anche al client.
I cookie devono essere non HttpOnly perché il client deve sapere se esiste un token di accesso per sapere se deve parlare con il server di autorizzazione ed eseguire un flusso di token di aggiornamento per ottenere nuovi token.
Quanto è grave questa sicurezza? Quali sono i rischi quando il token di aggiornamento / accesso viene rubato? Quali sono alcuni modi per mitigare questi rischi?
Modifica
Inoltre, pensi che PKCE possa migliorare in qualche modo la sicurezza del token di aggiornamento? Da quanto ho capito, può solo migliorare la sicurezza del flusso del codice di autenticazione ma dopo aver ottenuto un token di accesso + aggiornamento non è molto diverso, non è necessario utilizzare un segreto quando si scambia il token di aggiornamento per una nuova coppia di token . Grazie