Soy un novato de seguridad. Estoy implementando auth en mi sitio y quiero preguntar dónde debo guardar mi token de acceso:
Tengo backend (apacible) y frontend (SPA). Comunicación solo entre ellos.
Por cierto, ¿qué tiempo de caducidad se recomienda para auth?
Dependiendo de los diferentes flujos que desee o tenga que usar (código de autorización, gran implícito, contraseña del propietario del recurso o flujos de credenciales de cliente), es posible que necesite un token de autorización y definitivamente un token de acceso. El token de autorización se puede almacenar en la base de datos y puede tener un TTL de más días, mientras que el token de acceso (alrededor de 5 minutos o configurable) tiene una duración más corta y se puede almacenar en el servidor en una lista a la que pueden acceder diferentes clientes (¡sincronizar!). OAuth2 no hace uso de la firma y, por lo tanto, HTTPS es una necesidad. El token no debe almacenarse en el interior como la cookie, ya que no se puede colocar por otra razón (caché, vulnerabilidad de transporte, ...). Como el token de acceso está vinculado al usuario, se puede guardar dentro de la sesión de la aplicación cliente.
Tal vez sea más sencillo usar una biblioteca que lo haya administrado correctamente.
Marque esta biblioteca de javascript
Lea otras preguntas en las etiquetas oauth