Где и как хранить client_secret?

Question

[ag033]

Имеется SPA-приложение на написанное на Nuxt. Под него развернуто API на Laravel. Дошло время до авторизации администратора и защиты запросов от имени админа. Выбор пал на laravel passport. И появился вопрос, можно ли хранить секретный ключ на стороне клиента для получения связки токенов? Если нет, то как организовать это на бекенде. Вариант описанный в документации и доп-запросом из роута был опробован, но хочется узнать есть ли какое -то другое решение.

Comments

[Mikhail Osher]

client_secret на клиенте не хранят.

Answer 1

[Антон Рейтаровский]

Нормальный вариант это отдельный запрос из бека и передача access токена на фронт.
Но можно еще попробовать personal access

Answer 2

[Alex]

Его можно хранить в cookie. Только обязательно почитайте о том, как сделать это безопасно.

Comments

[ag033]

Но он все равно же остается в "общем" доступе?