存储位置 - OAuth 2.0 中的访问令牌和刷新令牌

【问题标题】:where to store - access token and refresh token in OAuth 2.0存储位置 - OAuth 2.0 中的访问令牌和刷新令牌
【发布时间】:2015-12-13 18:05:22
【问题描述】:

我是 OAuth 2.0 的新手,我想知道在通用电子商务网站中存储访问令牌和刷新令牌的最佳做法/位置是什么。

问题1:
访问令牌和刷新令牌应该存储在网站的什么位置? (cookies、网络存储或本地存储)。以及像 google、dropbox 这样的大公司在哪里存储访问令牌和刷新令牌?

问题 2:
如果刷新令牌存储在客户端(在台式机/笔记本电脑中使用浏览器),是否有人在该设备上获得物理增益,能够获取刷新令牌和设备信息并使用它在其他地方生成访问令牌?

问题 3:
我看到一些帖子建议客户端永远不应该存储和知道刷新令牌。那么,刷新令牌应该存储在哪里以及在这种情况下如何重新认证?

【问题讨论】:

    标签: oauth oauth-2.0


    【解决方案1】:

    A1:访问令牌的生存时间比刷新令牌短得多,您可以将刷新令牌存储在本地存储中,甚至是服务器端的其他安全存储;对于访问令牌,网络存储和本地存储都可以;将访问令牌存储在 cookie 中没有多大意义

    A2:是的,因此刷新令牌不应该存储在客户端;

    A3:存储在服务器/服务端

    【讨论】:

      猜你喜欢
      • 2015-04-01
      • 2021-09-13
      • 2019-10-25
      • 2015-12-14
      • 1970-01-01
      • 2021-07-16
      • 2019-06-18
      • 2013-11-23
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode