エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
[SPA]脆弱性を潰して認証情報を扱う[アクセストークン] - Qiita
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
[SPA]脆弱性を潰して認証情報を扱う[アクセストークン] - Qiita
最近、新規事業で完全0-1のプロダクト開発をした際に Rails/Vue.jsのSPAでいかにセキュアに認証情報を扱... 最近、新規事業で完全0-1のプロダクト開発をした際に Rails/Vue.jsのSPAでいかにセキュアに認証情報を扱うかについて調べた結果を書いていきます 「それおかしくない?」とか「脆弱性つぶせてなくない?」とかあればコメントで指摘していただけるととても助かります どう実装するか 実装の意図や詳細については下の方で解説します Rails側 認証情報をsecure属性とhttponly属性をつけたcookieでフロントエンドに返す domain属性はAPIのドメインのみにする(特に設定変えなければデフォルトでそうなってるはず) 独自ヘッダの有無のチェックを認証処理に組みこむ gemrack-corsを導入する originsをSPAのURLのみに制限する credentialsをtrueにしておく Vue.js側 withCredentialsオプションをtrueに設定する(axiosやx