為什么不將OAuth2訪問令牌存儲為HttpOnly安全cookie? 如何在Node.js應用程序中工作?
[英]Why aren't OAuth2 access tokens stored as HttpOnly secure cookies? How would that work in a Node.js application?
問題描述
我正在運行Node.js RESTful api,其中您發布到/ oauth / token的典型響應令牌將導致以下典型響應
{
"refresh_token": "eyJraWQiOiI2...",
"token_type": "Bearer",
"access_token": "eyJraWQiOiI2Nl...",
"expires_in": 3600
}
在本地存儲時,那些令牌是否容易被劫持? 如果它們被存儲為HttpOnly安全cookie,我將如何隨后將它們包含在客戶端的授權標題中?
1 個解決方案
解決方案1
0 2019-05-23 06:43:15
這就是OAuth的工作方式。 您會在響應中收到令牌和元數據作為正文。 現在由您負責任地存儲,例如在一個安全的HttpOnly cookie中。
如果令牌從身份驗證服務器返回為cookie,則cookie的域將是身份驗證服務器,並且不會發送到您的應用程序服務器。
如果cookie也是HttpOnly,瀏覽器客戶端將無法讀取cookie,也無法創建新的cookie等。
如何在 Node.js,Express.js 應用程序中設置 HttpOnly 標志?
[英]How to set HttpOnly flag In Node.js ,Express.js application?
Node.js 通行證 OAuth 2.0 身份驗證:存儲訪問和刷新令牌的位置
[英]Node.js passport OAuth 2.0 authentication: where to store access and refresh tokens
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何在 React 應用程序中存儲 OAuth2 訪問令牌?
Node.js請求節點是否存儲HTTPOnly cookie?
如何在Node.js中發現Google OAuth2中的API
Discord OAUTH2 與 node.js
為什么常量不是用於Node.js中的事件?
竊取oAuth2中的訪問令牌
如何在 Node.js,Express.js 應用程序中設置 HttpOnly 標志?
為什么我不能用Node.js express設置cookies?
Node.js 通行證 OAuth 2.0 身份驗證:存儲訪問和刷新令牌的位置
如何獲取 httpOnly(安全)cookie TestCafe?
相關標簽