Как хранить идентификатор пользователя на frontend? Есть ли смысл переходить на OAuth?
Суть в общем -то в названии. Сейчас у меня есть api на php и фронтенд на vue, которые находятся на одном домене (php рендерит front) После успешного ввода логина и пароля бекенд посылает httpOnly куку с id текущей сессии, а на фронте я пишу userId в localStorage. Для проверки залогинен пользователь или нет фронт ищет uid в хранилище и если находит, то пользователь залогинен, но при текущем подходе на фронте можно спокойно записать любой uid в localStorage и пройти по закрытым роутам под видом пользователя, хотя запросы к api на изменение не пройдут, без авторизационной куки, но запросы на чтение данных вполне себе (фронт авторизуется на бекенде по другой куке с id клиента). Как лучше хранить id пользователя на фронте и стоит ли прикручивать oauth2 with pkce?
