Sto sviluppando un'infrastruttura di back-end basata su microservizi. Sto usando il framework Springboot.
Per quanto riguarda le fasi di autenticazione e autorizzazione, utilizzerei Oauth2 + JWT. Ciò è dovuto principalmente al fatto che disporrai di microservizi diversi che implementano l'API di riposo e inoltre alcune API verranno utilizzate dall'app mobile. Allora probabilmente lascerò che gli utenti si registrino utilizzando il loro account google / facebook.
Ci sono altri modi per raggiungere questi obiettivi? Questa è una buona soluzione o può essere definita sicura?
Dovrò anche gestire il problema di archiviazione JWT.
- I cookie espongono agli attacchi CSRF (ma se ho capito bene possono essere mitigati usando lo schema del portatore).
- localStorage / sessionStorage espone agli attacchi XSS