3
認証とセッション管理のためのSPAのベストプラクティス
Angular、Ember、Reactなどのフレームワークを使用してSPAスタイルのアプリケーションを構築する場合、認証とセッション管理のベストプラクティスは何だと思いますか?問題への取り組みを検討する方法はいくつか考えられます。 APIとUIのオリジンドメインが同じであると想定して、通常のWebアプリケーションでの認証と同じように扱います。 これには、セッションCookie、サーバー側セッションストレージ、およびおそらく認証済みWeb UIがヒットして現在のユーザー情報を取得し、パーソナライゼーションやクライアント側の役割/機能の決定に役立つ可能性があるいくつかのセッションAPIエンドポイントが含まれる可能性があります。もちろん、サーバーは引き続きデータへのアクセスを保護するルールを適用し、UIはこの情報を使用してエクスペリエンスをカスタマイズします。 パブリックAPIを使用するサードパーティのクライアントと同様に扱い、OAuthと同様のトークンシステムで認証します。このトークンメカニズムは、サーバーAPIに対して行われたすべてのリクエストを認証するためにクライアントUIによって使用されます。 私はあまり専門家ではありませんが、ほとんどの場合、#1で完全に十分ですが、経験豊富な意見をいくつか聞きたいです。