我是OAuth 2.0的新手,我希望了解在通用电子商务网站中存储访问令牌和刷新令牌的最佳做法/位置。
问题1:
应该在哪里访问令牌和刷新令牌存储在网站中? (cookie,网络存储或本地存储)。谷歌这样的大公司,dropbox存储访问令牌和刷新令牌?
问题2:
如果刷新令牌存储在客户端(在台式机/笔记本电脑中使用浏览器),那么有人可能在该设备上获得物理增益,能够获取刷新令牌和设备信息并使用它在其他地方生成访问令牌?
问题3:
我看到一些帖子表明客户端永远不应该存储和知道刷新令牌。那么,在哪里应该存储刷新令牌以及如何在这种情况下重新进行身份验证?
答案 0 :(得分:-1)
A1:访问令牌的生存时间比刷新令牌短得多,您可以将刷新令牌存储在本地存储中,甚至存储在服务器端的其他安全存储中;对于访问令牌,网络存储和本地存储都很好;在cookie中存储访问令牌没有多大意义
A2:是的,因此刷新令牌不应存储在客户端;
A3:将其存储在服务器/服务端