나는 과거에 클라이언트 측 $ window.sessionStorage에 사용자 토큰을 저장하는 손을 굴린 앱을 만들었습니다.User Auth - oAuth questions
나는 그때부터 이것이 안전하지 않다는 것을 깨달았습니다. 나는 노드/익스프레스 백엔드 api를 사용하는 앱을 안전하게 보호하기위한 가장 안전한 표준 방법을 찾고 있으며 웹용 또는 네이티브 모바일 앱과 같은이 api에 요청을하는 프런트 엔드를 사용합니다. . 또한 브라우저를 닫을 때마다 $ 윈도우의 세션 저장소가 지워졌 기 때문에 다시 로그인해야합니다.
내가 지금까지 조사한 바에 따르면, 가장 안전한 방법은 HTTP 전용 보안 쿠키에 jwt를 저장하는 것입니다.
그러나 oAuth와 같이 이미 존재하는 서비스를 사용하고 싶습니다. 몇 가지 질문 :
1) oAuth는 사용자 기반의 소유자를 유지하는 데 얼마나 안전합니까? 3 년이 지난 지금 갑자기 또는 천천히 죽는다면 어떨까요? 모든 사용자가 기술적으로 서버에 저장되어 있지 않습니까? 내 앱을 내 기본 사용자로 유지하려면 어떻게해야합니까?
2) snapchat, twitter, tumblr 등과 같은 영역에서 시작 응용 프로그램을 만들려면 oAuth와 같은 서비스를 사용하여 내 인증을 처리하는 것이 일반적으로 권장됩니까? 물론 미래는 알려지지 않았지만 내 앱이 수백만 명의 사용자에게 다가 갈 수 있다고 가정하면 oAuth와 같은 서비스를 사용하는 것이 현명한 선택일까요? 일단 oAuth를 사용하기 시작하면, 1 년에서 2 년 동안 자신의 데이터베이스에 사용자를 저장하는 일은 결코 없을 것입니다.
감사합니다.
권장 사항이 * 명시 적으로 * 주제에서 벗어난 SO합니다. – jonrsharpe
무엇에 관한 권장 사항? –
모든 것, 인증 프로토콜 및 서비스가 포함됩니다. – jonrsharpe