好问题！这确实是SPA场景下OIDC认证里非常常见的困惑点，我来给你一步步拆解清楚：

首先得明确一个核心限制：公共客户端（比如你的Angular SPA）本身没办法直接设置HttpOnly Cookie。因为HttpOnly是浏览器的安全属性，一旦设置，JavaScript就完全无法读写这个Cookie——而SPA的所有逻辑都是在浏览器端通过JS运行的，所以你根本没法把前端拿到的令牌放到HttpOnly Cookie里。

那有没有办法实现类似的安全效果，让令牌通过安全Cookie传递给后端？当然有，推荐两种可行方案：

方案一：让后端参与令牌交换（推荐） #

这是现在业界更认可的安全实践，流程调整如下：

• Angular依然用PKCE流程发起认证，拿到授权码（code）后，不要自己去授权服务器换令牌；
• 把这个授权码传给你的Spring Boot后端；
• 后端以保密客户端的身份（可以安全存储client secret），拿着授权码去授权服务器交换id_token、access_token等令牌；
• 后端拿到令牌后，通过Set-Cookie响应头设置带有HttpOnly、Secure、SameSite=Strict/Lax属性的Cookie（比如把access_token或者后端生成的会话ID存在Cookie里）；
• 后续Angular调用后端API时，浏览器会自动把这个Cookie带上，后端就能验证用户身份了。

这种方式的核心优势是：令牌完全不在前端存储，从根源上避免了XSS窃取令牌的风险，同时Cookie的安全属性也能有效防范CSRF攻击。

方案二：内存存储令牌（折中方案） #

如果暂时不想调整认证流程，可以考虑把令牌只存在Angular应用的内存中（比如服务类的变量里），每次调用后端API时，把令牌放在Authorization: Bearer <token>请求头里传给后端。

这种方式避免了localStorage/sessionStorage的XSS风险，但缺点也很明显：页面刷新或者SPA重启后，令牌会丢失，用户需要重新登录，体验会打折扣。

关键提醒 #

不管用哪种方案，都要确保：

• 所有通信都通过HTTPS传输，防止令牌被窃听；
• 如果用Cookie方案，一定要配置Secure（仅HTTPS下传输）、SameSite（防范CSRF）属性；
• 后端验证令牌时，要严格校验签名、过期时间等信息。

总结一下：SPA无法直接将自己拿到的令牌存入HttpOnly Cookie，但通过后端参与令牌交换的方式，可以让后端设置安全Cookie，实现更安全的认证链路。

备注：内容来源于stack exchange，提问作者AntonBoarf