SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ

https://mizumotok.hatenablog.jp/entry/2021/08/04/114431

Auth0のサーバとはCookieでセッションを維持しておき

タイトルで「localStorageでもCookieでもない、Auth0方式」と言っているけど、結局のところ Cookie 使っているんだよね・・・。
タイトル詐欺感があるな。

Web Workerを使用しているのはUIのスレッドとは別のスレッドで少しでも効率よくするためで、Web Workerを使用できない場合でもメインスレッドでfetchする仕組みになっています。

ですよね。
結局 Cookie 付きの HTTP リクエストで取得できるので、iframe + Web Worker を使ってもセキュリティレベルは上がらない気がする。

徳丸さんのブコメ

印象的だった。
Auth0 は様々なところで使われる IDaaS なのでこういう仕組みでやっている理由があると思うけど、意味なく真似はしない方が良さそう。

徳丸さんのブコメ

https://b.hatena.ne.jp/entry/s/mizumotok.hatenablog.jp/entry/2021/08/04/114431

関連記事

どういう中身の実装になっているのかというと、HTMLの<iframe>というタグを酷使して、Silent Authenticationを実現しています。/auth0-spa-jsというGitHubのリポジトリ(https://github.com/auth0/auth0-spa-js)があって、僕もそれをがんばって読もうとして挫折したんですが(笑)。

認証用トークン保存先の第4選択肢としての「Auth0」 - ログミーTech

「えっ?」と思ったこの記事を思い出した。