我正在开发一个带有微服务后端的angularjs应用程序。 微服务使用弹簧靴开发,并用oauth2固定。我已经创建了一个授权服务和几个资源服务。 可以使用密码授权请求访问令牌,资源服务使用授权服务检查令牌,并验证请求者是否具有访问资源的足够访问权限。
现在我想将刷新令牌流添加到应用程序。将刷新令牌发送到浏览器并从授权服务器请求新的访问令牌非常简单。但这会在浏览器(SessionStorage)中公开刷新令牌。这似乎是一个坏主意。所以我想知道是否可以在授权服务中创建的安全cookie中发送刷新令牌。这样可以防止javascript访问刷新令牌。
是否可以在cookie中发送刷新令牌?