Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SPAのサイトを アプリのwebviewで利用するときのトークンの渡し方

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for higuuu higuuu
October 13, 2021
Programming
2.5k
0

SPAのサイトを アプリのwebviewで利用するときのトークンの渡し方

Avatar for higuuu

higuuu

October 13, 2021

More Decks by higuuu

See All by higuuu
副業で入ったけどタスクがないからPMっぽいことをした話
Avatar for higuuu higuuu
0
280
年700万円損するサーバレスの 認可システムをご紹介します!!
Avatar for higuuu higuuu
3
1.3k
もしも、 上司に鬼退治を命じられたら~プロジェクト計画編~
Avatar for higuuu higuuu
0
700
フロントエンドが知って おきたいセキュリティについて
Avatar for higuuu higuuu
1
1.2k
今年の抱負 81日でやり遂げるぞー
Avatar for higuuu higuuu
1
320
Testing rules for teams that do not write test code
Avatar for higuuu higuuu
1
260
コードレビューで 開発が加速した話
Avatar for higuuu higuuu
0
770

Other Decks in Programming

See All in Programming
PHP でエミュレータを自作して Ubuntu を動かそう
Avatar for memory m3m0r7
PRO
2
160
Java 21/25 Virtual Threads 소개
Avatar for Sunghyouk Bae (Debop) debop
0
320
GoのDB アクセスにおける 「型安全」と「柔軟性」の両立 - Bob という選択肢
Avatar for tak tak848
0
300
L’IA au service des devs : Anatomie d'un assistant de Code Review
Avatar for Thomas Boileau toham
0
190
「速くなった気がする」をデータで疑う
Avatar for Leaf senleaf24
0
130
ロボットのための工場に灯りは要らない
Avatar for watany watany
12
3.3k
Laravel Nightwatchの裏側 - Laravel公式Observabilityツールを支える設計と実装
Avatar for Ryuta Hamasaki avosalmon
1
300
テレメトリーシグナルが導くパフォーマンス最適化 / Performance Optimization Driven by Telemetry Signals
Avatar for shiro seike seike460
PRO
2
200
Claude Code Skill入門
Avatar for maya mayahoney
0
460
ネイティブアプリとWebフロントエンドのAPI通信ラッパーにおける共通化の勘所
Avatar for Suguru Ohki suguruooki
0
230
AI Assistants for Your Angular Solutions @Angular Graz, March 2026
Avatar for Manfred Steyer manfredsteyer
PRO
0
140
GC言語のWasm化とComponent Modelサポートの実践と課題 - Scalaの場合
Avatar for Rikito Taniguchi tanishiking
0
140

Featured

See All Featured
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
1
320
The Director’s Chair: Orchestrating AI for Truly Effective Learning
Avatar for Mike Taylor tmiket
1
140
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6k
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
1
1.5k
Game over? The fight for quality and originality in the time of robots
Avatar for Wayne Barker wayneb77
1
150
A Soul's Torment
Avatar for Nat Ma seathinner
5
2.6k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
Avatar for Aleyda Solis aleyda
1
1.2k
It's Worth the Effort
Avatar for 3n 3n
188
29k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.7k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
61
43k

Transcript

  1. SPAのサイトを アプリのwebviewで利用するとき のトークンの渡し方 ヒグ!(樋口修也)

  2. 発表者 フロントエンド,認証認可 2015年 旭川→岩手大学へ入学 2019年 東京のIT企業に新卒入社 2020年 コープさっぽろへ転職し札幌へ ダブルダッチ、筋トレ、ダンス AWS

    CDK, Vue.js ワクチンで昨日39.1℃まで上がりました 樋口修也(24) 担当: 経歴: 趣味: 好み: 最近: 新参者なのでお手柔らかにお願いします

  3. webviewとは・・ WEBで公開しているサイトなどをアプリから 呼び出して、サイトをあたかもアプリのように 見せて動作させる技術 サイト アプリ

  4. 1. Authorization headerでトークンを渡す サイト GET https://xxx.com { “Authorization”:“Bearer ey...” }

  5. 1. Authorization headerでトークンを渡す サイト GET https://xxx.com { “Authorization”:“Bearer ey...” }

    SPAでは不可

  6. SPAの構成 index.html xxx.js クライアント API通信

  7. SPAの構成 index.html xxx.js クライアント API通信 webview アプリ Authorization あり Authorization

    なし API通信に必 要なトークンな し

  8. SPAではない時の構成 index.html xxx.js クライアント サーバー webview アプリ Authorization あり Authorization

    なし token保持 SPAではない時なら簡単にトークンの保持ができる

  9. 案1クエリでトークンを渡す index.html xxx.js クライアント webview アプリ https://xxx? token=ey... https://xxx? token=ey...

    • SPAでもURLは残るのでwebview内で活用できる • TLSで暗号化されている場合ドメイン以外は隠されるので通信を傍受されてもクエリは覗かれない • サーバーログに残ってしまう

  10. RFC6749でも禁止するような文言が アプリなのでブラウザの履歴にはのこならないが、サーバーログには残るのでやはり避 けるべき

  11. 案2ローカルストレージでトークンを渡す index.html xxx.js クライアント webview アプリ https://xxx? token=ey... https://xxx •

    「evaluateJavascript」関数を利用してローカルストレージを操作 window. localStorage

  12. issue ばっか立っててうまくいっていないっぽい

  13. 案3 js発火させた時の引数としてトークンを渡す index.html xxx.js クライアント webview アプリ https://xxx? token=ey... https://xxx

    • 「evaluateJavascript」関数を利用してjsを発火

  14. JSがトランスパイルされてしまうのでうまく呼べない

  15. 案4 ワンタイムパスワードを渡す index.html xxx.js クライアント webview アプリ https://xxx https://xxx ?otp=...

    • トークンの代わりにOTPを渡す • webview側からOTPとトークンの交換を行う • 実装方法が煩雑 トークン交 換API otpとtokenをpostで交換

  16. 実装方法の詳細は記事にしたのでご覧ください https://menta.work/post/detail/13200/0m3pMbwd9CxzqXiTPLTM

  17. まとめ • リファレンスに乗っているようなベストプラクティスでも現実問題上手くいかない場合 もある • 今のところ案1,4が把握している実現方法 • SPAでwebviewへトークンを渡す方法が正直どれもイケてない • webviewは利用規約ぐらいに留めてトークンを扱う部分はnativeで実装したほうが

    いい • 誰かいい方法あったら教えて欲しいです!