Bonjour,
Mon projet:
-> petite entreprise (3 devs), pas beaucoup de temps
-> application web avec front en vuejs et backend en symfony4
Je travaille actuellement sur l'authentification.
Après des recherches sur le sujet, et sans être un expert de la sécurité, je n'arrive pas à trancher concernant le choix de stocker les informations de session des clients (token).
A première vue les cookies semblent plus sécure, mais le localstorage est plus simple, plus facile à mettre en place.
Mettre en place le token CSRF sur mon backend en mode api stateless est quelque chose qui me dérange fortement, mais du coup je me pose plein de questions.
Vaut t'il mieux utiliser les cookies sans protection CSRF ou le localstorage? Est-ce que c'est obligatoire de coder une protection CSRF si on utilise des cookies?
Si quelqu'un a un retour d'expérience sur le sujet ca m'interesse fortement car je n'ai jamais trop travaillé sur ces problématiques d'authentification et je manque de recul.
Je souhaite faire quelque chose de carré, mais l'application que l'on développe n'est pas pour la CIA non plus.
Merci d'avance!
Partager