[英]Why aren't OAuth2 access tokens stored as HttpOnly secure cookies? How would that work in a Node.js application?
我正在運行Node.js RESTful api,其中您發布到/ oauth / token的典型響應令牌將導致以下典型響應
{
"refresh_token": "eyJraWQiOiI2...",
"token_type": "Bearer",
"access_token": "eyJraWQiOiI2Nl...",
"expires_in": 3600
}
在本地存儲時,那些令牌是否容易被劫持? 如果它們被存儲為HttpOnly安全cookie,我將如何隨后將它們包含在客戶端的授權標題中?
這就是OAuth的工作方式。 您會在響應中收到令牌和元數據作為正文。 現在由您負責任地存儲,例如在一個安全的HttpOnly cookie中。
如果令牌從身份驗證服務器返回為cookie,則cookie的域將是身份驗證服務器,並且不會發送到您的應用程序服務器。
如果cookie也是HttpOnly,瀏覽器客戶端將無法讀取cookie,也無法創建新的cookie等。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.