【问题标题】:Safe Keeping Oauth Tokens in a Cookie?在 Cookie 中安全保存 Oauth 令牌?
【发布时间】:2018-09-02 08:21:12
【问题描述】:
我一直在 cookie 中保留我的 3 条腿身份验证令牌和刷新令牌,以便我可以在重新加载后传输它们。我在本地主机上,所以我不必考虑安全性,但很快我就会将我的网络应用程序放到互联网上。我知道您应该只拥有一个带有 viewables:read 的令牌,作为防止任何窥探用户数据的唯一范围。如果我使用自己的加密方法加密令牌是否安全,还是应该将令牌保存在服务器端的 mySQL 会话中?如果我应该创建 mySQL 会话,有人可以给我一个关于 mySQL 会话解析器 npm 扩展的教程的链接吗?我过去没有让它工作。谢谢。
【问题讨论】:
标签:
node.js
cookies
oauth
autodesk-forge
autodesk
【解决方案1】:
如果您有一个 3-legged 令牌,该令牌将只允许访问该用户数据。如果该令牌是viewables:read,用户将能够查看他/她的模型,除此之外别无其他。您可以在查看器上使用代理来避免将其发送到客户端 see a NodeJS sample。
刷新令牌对该用户无用,要真正刷新它,需要 ID 和密码(并且应该隐藏密码,例如,可以为 BIM 360 配置公开 ID)。
假设浏览器没有受到威胁并且您的 cookie 被配置为仅使用 https,那么 cookie 只会暴露给创建它并在传输过程中受到保护的网站。
我在示例应用程序中使用cookie-sessionlike this。