SPAのアプリケーションで、外部のIdPを使ってOpenID Connectによるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性︵氏名等︶情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性‥JSによるCookieへのアクセスを防ぐため - Secure属性‥流出防止のため - SameSite=strict‥CSRF対策のため 結論から言えば、﹁どちらでもよい﹂となります。しかし、恐らく話は