Moja aplikacja to Spring + Angular, dodatkowo korzystam z z API Microsoftu. Flow wygląda tak:
- Wchodzę na swój front angularowy
- Dostaję przekierowanie na strone MS gdzie muszę się zalogować
- Przekierowuje mnie z powrotem do angulara, wraz z authorization_code
- Uderzam ze wspomnianym kodem do modulu springowego, tam wyciągany na jego podstawie jest access_token i zwracany do front endu
- Po stronie frontu, zapisuje access_token w sessionStorage,
Teraz mogę uderzać do swojego backendu z access_tokenem, a backend wykonuje z nim strzały do zabezpieczonych zasobów MS. Wszystko fajnie ale... czy to rozsądne trzymać access token w takim miejscu? Czy to bezpieczne przekazywać go ot tak przez RESTa?