存储位置- OAuth 2.0中的访问令牌和刷新令牌
我刚接触OAuth 2.0,我想知道在通用电子商务网站中存储访问令牌和刷新令牌的最佳实践/位置是什么。
问题1:
访问令牌和刷新令牌应该存储在网站中的什么位置?(cookies、web存储或本地存储)。像google,dropbox这样的大公司在哪里存储访问令牌和刷新令牌?
问题2:
如果刷新令牌存储在客户端(在台式机/笔记本电脑上使用浏览器),是否有人可以在该设备上获得物理收益,从而能够获得刷新令牌和设备信息,并使用它在其他地方生成访问令牌?
问题3:
我看到一些帖子建议客户端永远不应该存储和知道刷新令牌。那么,刷新令牌应该存储在哪里,在这种情况下如何重新进行身份验证?
回答 2
Stack Overflow用户
发布于 2022-02-18 07:12:04
A1 --必须将刷新令牌存储在http- cookie (js无法访问)和数据库中中,并使用数据库验证cookie刷新令牌。将访问令牌存储在内存或会话存储中,但它必须在短时间内过期
答案1,回答问题1和3
Stack Overflow用户
发布于 2016-03-15 23:54:15
A1:访问令牌的生存时间比刷新令牌短得多,您可以将刷新令牌存储在本地存储甚至服务器端的其他安全存储中;对于访问令牌,web存储和本地存储都可以;将访问令牌存储在cookie中没有太大意义
A2:可以,所以刷新token不应该存储在客户端;
A3:存储在服务器/服务端
https://stackoverflow.com/questions/32620689
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号