2022-08-05
https://mizumotok.hatenablog.jp/entry/2021/08/04/114431
Auth0のサーバとはCookieでセッションを維持しておき
タイトルで「localStorageでもCookieでもない、Auth0方式」と言っているけど、結局のところ Cookie 使っているんだよね・・・。
タイトル詐欺感があるな。
Web Workerを使用しているのはUIのスレッドとは別のスレッドで少しでも効率よくするためで、Web Workerを使用できない場合でもメインスレッドでfetchする仕組みになっています。
ですよね。
結局 Cookie 付きの HTTP リクエストで取得できるので、iframe + Web Worker を使ってもセキュリティレベルは上がらない気がする。
印象的だった。
Auth0 は様々なところで使われる IDaaS なのでこういう仕組みでやっている理由があると思うけど、意味なく真似はしない方が良さそう。
https://b.hatena.ne.jp/entry/s/mizumotok.hatenablog.jp/entry/2021/08/04/114431
どういう中身の実装になっているのかというと、HTMLの<iframe>というタグを酷使して、Silent Authenticationを実現しています。/auth0-spa-jsというGitHubのリポジトリ(https://github.com/auth0/auth0-spa-js)があって、僕もそれをがんばって読もうとして挫折したんですが(笑)。
「えっ?」と思ったこの記事を思い出した。