Hola:
Recientemente tengo un proyecto en el cual expongo una Rest API, la debe ser accesada con el protocolo OAuth2, lo cual lleva a que se monte un servidor OAuth2 y se extiendan y revoquen tokens y permisos mediante 3 entrypoints expuestos en un webapp, todo eso ya tengo un PoC y funciona.
Pero me surgen las siguientes dudas con respecto a la seguridad:
- Conviene montar esa webapp en un subdominio totalmente diferente por ejemplo:
- auth.midominio.com (servidor OAuth2)
- api.midominio.com (REST API).
- ¿Los access_token generados deben de ir cifrados y guardados en cookie, o conviene generar una tabla para guardarlos y guardar los identificadores en cookies?
- Que aspectos de seguridad tengo que considerar:
- escapar todos los inputs para evitar XSS.
- meterle request_tokens para evitar CSFR.
- HTTP_ONLY a las cookies.
- HTTPS ... etc.
O si alguien a tenido experiencia montando su propio OAuth2 server, ¿Con qué cosas a batallado?
De antemano muchas gracias por sus consejos y/o experiencias.