存储和访问oAuth access_token的最佳实践?

时间:2015-02-09 12:14:47

标签: security optimization database-design oauth-2.0

考虑到用户已经帮助我在我的应用程序中生成访问令牌和其他东西(刷新令牌/实例url)。每次我为用户做一份工作我都必须使用这个令牌并与他的应用程序通信。
使用userId信息存储这些访问令牌的最佳做法是什么? 还有哪些最佳做法可以最大限度地减少db对用户应用程序的每个请求的调用? 问题在数据库设计级别输入。

1 个答案:

答案 0 :(得分:1)

如果您主要关注现代浏览器版本,则可以使用HTML5会话存储(即sessionStorage)来存储您的访问令牌。从安全角度来看,会话存储优于本地存储(即localStorage)。点击此处查看更多信息:

OWASP HTML5 Security Cheat Sheet

在这里:

Introduction to sessionStorage

请注意,每个浏览器版本的一些限制是关于在保持选项卡或窗口打开时清除或删除会话存储的情况。

就最小化对数据库的调用而言,您必须权衡您希望在客户端存储的数量(大小)与数据(缓存)的过时性相比与在客户端上保留敏感数据的可能性太长(安全性) )。您还可以查看HTML5本地存储或客户端数据库

@RobertHurlbut