[英]Why aren't OAuth2 access tokens stored as HttpOnly secure cookies? How would that work in a Node.js application?
我正在运行Node.js RESTful api,其中您发布到/ oauth / token的典型响应令牌将导致以下典型响应
{
"refresh_token": "eyJraWQiOiI2...",
"token_type": "Bearer",
"access_token": "eyJraWQiOiI2Nl...",
"expires_in": 3600
}
在本地存储时,那些令牌是否容易被劫持? 如果它们被存储为HttpOnly安全cookie,我将如何随后将它们包含在客户端的授权标题中?
这就是OAuth的工作方式。 您会在响应中收到令牌和元数据作为正文。 现在由您负责任地存储,例如在一个安全的HttpOnly cookie中。
如果令牌从身份验证服务器返回为cookie,则cookie的域将是身份验证服务器,并且不会发送到您的应用程序服务器。
如果cookie也是HttpOnly,浏览器客户端将无法读取cookie,也无法创建新的cookie等。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.