OAuth2承载令牌刷新策略

Question

我刚使用Node.js和node-oauth2-server库创建了自己的OAuth2服务器，并遵循此tutorial。

在实施此类身份验证系统后，此时的问题是这样的。

确定。现在我可以将Bearer令牌存储在客户端，用户不必每次都登录，也不必存储他们的凭据。

但是，我仍在存储Bearer令牌，当被盗时，会授予任何人对令牌原始所有者的相同访问权。

我现在可以采取什么策略，以便我可以执行以下规则：

1. 登录用户无需重新登录，除非他们自行退出
2. 持有者令牌（存储在服务器和客户端都不断刷新以阻止黑客）
3. 检测并处理用户的持有者令牌遭到入侵时的情况。

Answer 1

为了确保没有恶意JavaScript可以访问您的令牌，您必须遵循以下规则：

1. 通过HTTPS投放所有网页。
2. 请勿使用CDN或任何其他不受信任的域来加载javascript，css或其他内容。如果您这样做，该内容可以访问localStorage或cookies。
3. 在呈现由用户输入生成的动态内容时，请始终实施XSS escaping，以防止用户内容加载新脚本。默认情况下，这在Angular和React.js中启用。