Ho un'applicazione singola pagina (lato client) che interagisce con una serie di API di back-end - l'architettura dei microservizi, per ottenere SSO, ho usato il protocollo Oauth2 (implementazione Spring).
Ora, per evitare i rischi associati al flusso implicito (quello consigliato per i client JS), ho usato un server proxy in cui sono state ricevute tutte le richieste alle API di back-end.
Ho fatto in modo che il proxy agisca come se fosse il client reale (con il flusso del codice di autenticazione), ora il token di accesso non viene inviato direttamente al client, invece il sessionId che viene mappato al token di accesso sul lato proxy sarà inviato al client (cookie) e utilizzato per ulteriori richieste all'API.
So che devo gestire l'attacco CSRF (per favore datemi alcune informazioni) ma ho bisogno di sapere quali sono i possibili rischi di questa implementazione. Penso che avere il token di accesso legato a una sessione invece di essere inviato direttamente al browser ridurrà l'area di attacco, correggimi se sbaglio.