Angular/認証概要(SPA)
「許可 + PKCE」フロー
暗黙フローは現在の業界標準ですが、セキュリティーの欠陥がいくつか見つかっています。 例えば、暗黙フローではリダイレクト URI を使用してトークンを取得できます。「許可 + PKCE」のフローでは代わりに XHR 要求を使用することでこの問題を回避しています。 セキュリティー欠陥のために、暗黙フローは推奨されなくなり、また、安全とも見なされなくなりました。
OAuth 2.0 の許可コード・フローの変化形である「許可 + PKCE」フローは、シークレットの代わりにワンタイム・コード・ベリファイヤーとチャレンジを使用しています。 ベリファイヤーとチャレンジにより、許可エンドポイントを呼び出したエンティティーと、トークン・エンドポイントを呼び出したエンティティーが同じであることが確認されます。つまり、攻撃者が許可サーバーにトークンを要求するには、コード・ベリファイヤーも知っていなければなりません。
IBMCloud
auth0+nestjs
認証基盤サービス (IdMaaS) 。専用 SDK を利用して新規登録やログインなどといった API を呼び出すことができる。 $15/月 から利用可能。
HTTPプラットフォームExpressをサポートできる。
thanks
https://dev.classmethod.jp/articles/auth0-angular-sdk/#toc-3
https://dev.classmethod.jp/articles/oauth-2-0-pkce-by-auth0/
https://note.com/koji_matae/n/n79688f3fc75b
https://zenn.dev/uttk/articles/9095a28be1bf5d
https://cloud.ibm.com/docs/appid?topic=appid-web-node