Блог

OAuth в SPA: редиректы, CORS и хранение токенов

Authorization Code + PKCE; CORS на token endpoint.

Опубликовано: 2024-08-20Обновлено: 2025-02-281 мин чтения

oauthspacors

PKCE

Публичные клиенты без секрета; PKCE защищает код.

Обмен кода на token endpoint подпадает под CORS.

Память, localStorage или HttpOnly cookies — разные угрозы.