我们正在使用Keycloak对我们的服务器端渲染应用程序(Java / Spring / Thymeleaf)进行身份验证,现在我们希望将其用于SPA(对于GUI,Angular,对于API,Spring)。
使用Angular快速入门,在Authorization标头中设置令牌(如下所示)。我的问题听起来有些愚蠢,但是由于Javascript始终可以访问令牌,因此这不是一个巨大的漏洞吗? (对于XSS)
使用仅使用http的cookie会更好吗?
使用Angular快速入门向API请求的示例:
- Request URL:
https://my-app.com/my-resource
- Request Method:
GET
- Response Headers
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://my-app.com
- Request Headers
Authorization: bearer eyJhbGciOiJSUzI1N.............
Origin: https://my-app.com
Referer: https://my-app.com/
User-Agent: Mozilla.............
链接到角度快速入门:https://github.com/keycloak/keycloak-quickstarts/tree/latest/app-angular2