1. 它走在正确的轨道上，只是我不确定推荐的浏览器流(授权代码+PKCE)是否通过所有正确的检查实现？在API中实现这一点是非常棘手的。

2. 要从API重定向回web源并提供JWT，有两个选项：

• a。在查询字符串中包含JWT，但这样可能会向浏览器和服务器日志显示JWT
• b。将其设置在一个仅HTTP加密的cookie中，然后重定向到web源，另一个服务器调用可以从中获取JWT

本地存储中的代币

2021年，不建议将代币存储在本地存储中，甚至根本不建议将其存储在浏览器中。当然，你做出的决定应该取决于你的数据的敏感性和你的利益相关者的想法。

短期访问令牌可能还可以，但由于各种攻击向量，即使对良好的输入保护进行了编码，长期刷新令牌也被认为是坏的。这段2021年的视频有更多的细节。

浏览器最近有两个相关的变化：

• SameSite=strictcookie变得更强，具有内置的CSRF保护，并且在浏览器中被认为比OAuth令牌更安全

• SPAs的传统OAuth流允许使用来自授权服务器的SSO cookie来获取新的短期访问令牌。但这些现在可能被视为third party，并被删除以防止跟踪(Safari会这样做)。这意味着解决页面重新加载等可用性问题的唯一(非cookie)方法是将刷新令牌存储在本地存储中，从安全角度来看，这被认为是糟糕的。

后端用于前端

因此，SPA应该将刷新令牌存储在仅HTTP加密的安全cookie中，作为其主要凭据。还建议使用高安全性应用程序，以避免在浏览器中访问令牌。

趋势是使用处理SPA令牌并编写安全cookie的东西。一种选择是使用较旧的"web后端"技术，另一种是使用API驱动的方法。

API驱动解决方案

这些Curity资源显示了后一种选择，它与您描述的模式相似：

• 代码
• 文档

这里是React安全代码，其中SPA只进行API调用，API从不处理重定向。此处记录了API代表SPA发送的OpenIDConnect消息。

就您的问题2而言，我们通过允许浏览器接收代码，然后将其完整URL发送到API来处理此问题。这使web和API关注点分离，攻击者不能利用它，因为代码必须同时带有PKCE代码验证器和客户端机密才能获得令牌。

摘要

不幸的是，SPA安全性很难，额外的cookie层对web开发人员来说很不方便。