0
SPA (Bootstrap/Angular) 및 별도 서비스 계층 (.Net) 우리는 처음에는 별도의 IdP로 리디렉션되지 않고 우리 사이트에있는 모든 것을 거의 액세스하지 못합니다. 로그인하면 SPA에서 ID 토큰으로 다시 리디렉션됩니다.SPA OpenID Connect 보안 문제
일단 사용자가 처음 등록하면 정보를 대조하여 반환 할 때마다 검색을 위해 새 계정에 연결합니다.
Google의 의도는 프런트 엔드의 모든 상태를 관리하고 (매우 미미한) 백 엔드를 완전히 무 상태로 유지하여 API에 대한 모든 요청이 백 엔드 (JWT 토큰 서명 및 클레임 유효성 검사) 사용자 ID (ID 토큰)를 얻고 승인 된 경우 응답을 제공합니다 ('보안 수준'클레임에 따라).
Google SPA의 요청 만 수락하기 위해 CORS 설정을 API에 적용 했으므로 다소 도움이되지만 내 생각에 누군가가 토큰을 어떻게 든 훔쳐서 사용자 정보를 찾는 데 사용할 수 있습니다.
이게 실제로 가능합니까? 더 큰 보안 취약점이 누락 되었습니까?
감사