こんにちは、@p1assです。 GW 中に SPA で OAuth を使うときのプラクティスについて調べていたところ、OAuth2.0 for Browser-Based Apps という RFC の Internet-Draft を見つけました。 一通り読んでみたところ、現時点でのベストプラクティスが良い感じにまとまっていたので、興味深かったところを抜粋して紹介します。 全てを網羅するわけではないので、興味がある方は原文を読んでください。 This specification details the threats, attack consequences, security considerations and best practices that must be taken into account when developing browser-based application
![SPA で役立ちそうな OAuth 2.0 for Browser-Based Apps を読んだ - ぷらすのブログ](https://cdn-ak-scissors.b.st-hatena.com/image/square/5579dcd4d2d0ca4642b0a29b596caead27315536/height=288;version=1;width=512/https%3A%2F%2Fog-image.p1ass.com%2Fapiv2%2FSPA%2520%25E3%2581%25A7%25E5%25BD%25B9%25E7%25AB%258B%25E3%2581%25A1%25E3%2581%259D%25E3%2581%2586%25E3%2581%25AA%2520OAuth%25202.0%2520for%2520Browser-Based%2520Apps%2520%25E3%2582%2592%25E8%25AA%25AD%25E3%2582%2593%25E3%2581%25A0.png)