【发布时间】:2018-02-23 13:52:00
【问题描述】:
我有一个声明 AllowEmailNotifications,它允许用户在其个人资料客户端中打开和关闭通知。我最初在他们的用户配置文件对象中有这个值,它存储在 sessionStorage 客户端中,当他们切换这个值时,它会在数据库和 sessionStorage 中更新。
将此值移动到访问令牌并更新也存储在会话存储中的访问令牌客户端是否安全,或者这是否被认为是篡改令牌?我需要它在服务器端,还是应该只调用数据库以在 Web 服务中获取此值?
我不确定通过应用而不是授权提供程序更新访问令牌中的值的最佳做法是什么?
【问题讨论】:
-
您不能在客户端“更新”访问令牌,只能使用刷新令牌通过刷新将其替换为新令牌。