Así que estoy creando un servicio que se integrará en iframes y con vistas web como JxBrowser, el sitio principal podrá pasar datos de entrada privados con window.postMessage y recibir mensajes de mensaje de vuelta con datos de salida privados una vez que El usuario ha decidido terminar la sesión.
El servicio en sí nunca se conectará a ninguna base de datos ni tendrá cookies (aunque podría haber pasado un token JWT desde la página principal a través de la URL que el servicio back-end puede usar como muro de pago) o almacenar cualquier información localmente (no localStorage y así sucesivamente).
Se puede considerar como un editor de texto en el que se obtiene una entrada inicial, el usuario trabaja un poco en él y luego devuelve la salida y el iframe se cierra.
Ahora viene la pregunta, ya que consideraría esta aplicación como "sin estado", los únicos datos a los que tiene acceso son los datos que se transmiten en la página principal, ¿sería importante verificar los orígenes al enviar mensajes? entre las dos páginas?
Los únicos datos que la aplicación conocerá son los datos proporcionados más los nuevos datos ingresados manualmente por el usuario.
¿Debo tener consideraciones especiales sobre el token JWT si deseo pasarlo a través de la URL?
Tengo la sensación de que podría haber buenas razones por las que me estoy perdiendo, pero como no hay cookies / almacenamiento local involucrado aquí, esos problemas son menos evidentes para mí.