Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SPAのサイトを アプリのwebviewで利用するときのトークンの渡し方

Avatar for higuuu higuuu
October 13, 2021
Programming
0
2.4k

SPAのサイトを アプリのwebviewで利用するときのトークンの渡し方

Avatar for higuuu

higuuu

October 13, 2021
Tweet

More Decks by higuuu

See All by higuuu
副業で入ったけどタスクがないからPMっぽいことをした話
Avatar for higuuu higuuu
0
260
年700万円損するサーバレスの 認可システムをご紹介します!!
Avatar for higuuu higuuu
3
1.2k
もしも、 上司に鬼退治を命じられたら~プロジェクト計画編~
Avatar for higuuu higuuu
0
670
フロントエンドが知って おきたいセキュリティについて
Avatar for higuuu higuuu
1
1.1k
今年の抱負 81日でやり遂げるぞー
Avatar for higuuu higuuu
1
310
Testing rules for teams that do not write test code
Avatar for higuuu higuuu
1
240
コードレビューで 開発が加速した話
Avatar for higuuu higuuu
0
740

Other Decks in Programming

See All in Programming
ポスターセッション: 「まっすぐ行って、右!」って言ってラズパイカーを動かしたい 〜生成AI × Raspberry Pi Pico × Gradioの試作メモ〜
Avatar for komo_fr komofr
0
1.2k
アメ車でサンノゼを走ってきたよ!
Avatar for Shigure Shimotori s_shimotori
0
220
登壇は dynamic! な営みである / speech is dynamic
Avatar for Daichi KUDO da1chi
0
280
The Flutter Journey of Building a Live Streaming App — With a Side of Performance Tuning
Avatar for Sugiy u503
1
110
Six and a half ridiculous things to do with Quarkus
Avatar for Holly Cummins hollycummins
0
160
複雑化したリポジトリをなんとかした話 pipenvからuvによるモノレポ構成への移行
Avatar for Satoshi Kaneyasu satoshi256kbyte
1
1k
デミカツ切り抜きで面倒くさいことはPythonにやらせよう
Avatar for aokirishima aokswork3
0
220
overlayPreferenceValue で実現する ピュア SwiftUI な AdMob ネイティブ広告
Avatar for Takashi uhucream
0
180
Go Conference 2025: Goで体感するMultipath TCP ― Go 1.24 時代の MPTCP Listener を理解する
Avatar for Takeru Hayasaka takehaya
8
1.6k
オープンソースソフトウェアへの解像度🔬
Avatar for うたもく utam0k
12
2.5k
10年もののAPIサーバーにおけるCI/CDの改善の奮闘
Avatar for masato hommaru mbook
0
800
クラシルを支える技術と組織
Avatar for raku rakutek
0
200

Featured

See All Featured
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.2k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
697
190k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
139
7.1k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
9
860
KATA
Avatar for Megan Lloyd mclloyd
32
15k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
37
2.6k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.4k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Side Projects
Avatar for Sacha Greif sachag
455
43k

Transcript

  1. SPAのサイトを アプリのwebviewで利用するとき のトークンの渡し方 ヒグ!(樋口修也)

  2. 発表者 フロントエンド,認証認可 2015年 旭川→岩手大学へ入学 2019年 東京のIT企業に新卒入社 2020年 コープさっぽろへ転職し札幌へ ダブルダッチ、筋トレ、ダンス AWS

    CDK, Vue.js ワクチンで昨日39.1℃まで上がりました 樋口修也(24) 担当: 経歴: 趣味: 好み: 最近: 新参者なのでお手柔らかにお願いします

  3. webviewとは・・ WEBで公開しているサイトなどをアプリから 呼び出して、サイトをあたかもアプリのように 見せて動作させる技術 サイト アプリ

  4. 1. Authorization headerでトークンを渡す サイト GET https://xxx.com { “Authorization”:“Bearer ey...” }

  5. 1. Authorization headerでトークンを渡す サイト GET https://xxx.com { “Authorization”:“Bearer ey...” }

    SPAでは不可

  6. SPAの構成 index.html xxx.js クライアント API通信

  7. SPAの構成 index.html xxx.js クライアント API通信 webview アプリ Authorization あり Authorization

    なし API通信に必 要なトークンな し

  8. SPAではない時の構成 index.html xxx.js クライアント サーバー webview アプリ Authorization あり Authorization

    なし token保持 SPAではない時なら簡単にトークンの保持ができる

  9. 案1クエリでトークンを渡す index.html xxx.js クライアント webview アプリ https://xxx? token=ey... https://xxx? token=ey...

    • SPAでもURLは残るのでwebview内で活用できる • TLSで暗号化されている場合ドメイン以外は隠されるので通信を傍受されてもクエリは覗かれない • サーバーログに残ってしまう

  10. RFC6749でも禁止するような文言が アプリなのでブラウザの履歴にはのこならないが、サーバーログには残るのでやはり避 けるべき

  11. 案2ローカルストレージでトークンを渡す index.html xxx.js クライアント webview アプリ https://xxx? token=ey... https://xxx •

    「evaluateJavascript」関数を利用してローカルストレージを操作 window. localStorage

  12. issue ばっか立っててうまくいっていないっぽい

  13. 案3 js発火させた時の引数としてトークンを渡す index.html xxx.js クライアント webview アプリ https://xxx? token=ey... https://xxx

    • 「evaluateJavascript」関数を利用してjsを発火

  14. JSがトランスパイルされてしまうのでうまく呼べない

  15. 案4 ワンタイムパスワードを渡す index.html xxx.js クライアント webview アプリ https://xxx https://xxx ?otp=...

    • トークンの代わりにOTPを渡す • webview側からOTPとトークンの交換を行う • 実装方法が煩雑 トークン交 換API otpとtokenをpostで交換

  16. 実装方法の詳細は記事にしたのでご覧ください https://menta.work/post/detail/13200/0m3pMbwd9CxzqXiTPLTM

  17. まとめ • リファレンスに乗っているようなベストプラクティスでも現実問題上手くいかない場合 もある • 今のところ案1,4が把握している実現方法 • SPAでwebviewへトークンを渡す方法が正直どれもイケてない • webviewは利用規約ぐらいに留めてトークンを扱う部分はnativeで実装したほうが

    いい • 誰かいい方法あったら教えて欲しいです!