我是OAuth 2.0的新手,我想知道在通用电子商务网站中存储访问令牌和刷新令牌的最佳实践/位置是什么.
问题1:
访问令牌和刷新令牌应该在哪里存储在网站中?(cookie,网络存储或本地存储).谷歌这样的大公司,dropbox存储访问令牌和刷新令牌?
问题2:
如果刷新令牌存储在客户端(在台式机/笔记本电脑中使用浏览器),那么有人可能在该设备上获得物理增益,能够获取刷新令牌和设备信息并使用它来生成访问令牌在其他地方?
问题3:
我看到一些帖子表明客户端永远不应该存储和知道刷新令牌.那么,应该在哪里存储刷新令牌以及如何在这种情况下重新进行身份验证?
小智 -1
A1:访问令牌的生存时间比刷新令牌短得多,您可以将刷新令牌存储在本地存储甚至服务器端的其他安全存储中;对于访问令牌,网络存储和本地存储都可以;将访问令牌存储在 cookie 中没有多大意义
A2:是的,因此刷新令牌不应该存储在客户端;
A3:存储在服务器/服务端
| 归档时间: |
|
| 查看次数: |
2618 次 |
| 最近记录: |