Estoy desarrollando una infraestructura de back-end basada en microservicios. Estoy usando el framework Springboot.
Con respecto a las fases de autenticación y autorización, usaría Oauth2 + JWT. Esto se debe principalmente a que tendré diferentes microservicios que implementarán la API de descanso y, además, la aplicación móvil utilizará alguna API. Entonces probablemente permitiré que los usuarios se registren utilizando su cuenta de google / facebook.
¿Hay otras formas de alcanzar estos objetivos? ¿Es esta una buena solución o puede llamarse segura?
También tendré que manejar el problema de almacenamiento JWT.
- Las cookies se exponen a ataques CSRF (pero si lo he entendido correctamente, se puede mitigar utilizando el esquema de portador).
- localStorage / sessionStorage se expone a ataques XSS