为什么不将OAuth2访问令牌存储为HttpOnly安全cookie? 如何在Node.js应用程序中工作?
[英]Why aren't OAuth2 access tokens stored as HttpOnly secure cookies? How would that work in a Node.js application?
问题描述
我正在运行Node.js RESTful api,其中您发布到/ oauth / token的典型响应令牌将导致以下典型响应
{
"refresh_token": "eyJraWQiOiI2...",
"token_type": "Bearer",
"access_token": "eyJraWQiOiI2Nl...",
"expires_in": 3600
}
在本地存储时,那些令牌是否容易被劫持? 如果它们被存储为HttpOnly安全cookie,我将如何随后将它们包含在客户端的授权标题中?
1 个解决方案
解决方案1
0 2019-05-23 06:43:15
这就是OAuth的工作方式。 您会在响应中收到令牌和元数据作为正文。 现在由您负责任地存储,例如在一个安全的HttpOnly cookie中。
如果令牌从身份验证服务器返回为cookie,则cookie的域将是身份验证服务器,并且不会发送到您的应用程序服务器。
如果cookie也是HttpOnly,浏览器客户端将无法读取cookie,也无法创建新的cookie等。
如何在 Node.js,Express.js 应用程序中设置 HttpOnly 标志?
[英]How to set HttpOnly flag In Node.js ,Express.js application?
Node.js 通行证 OAuth 2.0 身份验证:存储访问和刷新令牌的位置
[英]Node.js passport OAuth 2.0 authentication: where to store access and refresh tokens
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何在 React 应用程序中存储 OAuth2 访问令牌?
Node.js请求节点是否存储HTTPOnly cookie?
如何在Node.js中发现Google OAuth2中的API
Discord OAUTH2 与 node.js
为什么常量不是用于Node.js中的事件?
窃取oAuth2中的访问令牌
如何在 Node.js,Express.js 应用程序中设置 HttpOnly 标志?
为什么我不能用Node.js express设置cookies?
Node.js 通行证 OAuth 2.0 身份验证:存储访问和刷新令牌的位置
如何获取 httpOnly(安全)cookie TestCafe?
相关标签