この記事はClassi Advent Calendar 2019 1日目の記事です。 こんにちは。Classiの2019新卒エンジニアの原(@hxrxchang)です。 2年連続で1日目を飾っていた@kasaharuさんから、トップバッターを奪い取ってしまったことを後悔してます(初日は辛い)。 さて今回は、SPAとRails API間での認証認可で悩んだことをまとめて、共有したいと思います。 SPAの認証はtokenをlocalStorageに入れる?? 2ヶ月ほど前、https://techracho.bpsinc.jp/hachi8833/2019_10_09/80851 の記事がバズっていました。内容を簡単にまとめると、「localStorageはJavaScriptで簡単にアクセスできしまうので(=XSSで格納されたデータを簡単に抜ける)、機密情報を格納するのはやめよう」というもの