[英]Storing O-Auth Tokens
我對 O-Auth 完全陌生,但我剛剛實現了我的第一個 O-Auth 流程,從外部 API 獲取訪問令牌以收集有關使用 NodeJS 和 Express 的用戶的信息。 外部 API 生成訪問令牌和刷新令牌,因為訪問令牌僅持續 24 小時。
我想知道存儲 API 訪問和刷新令牌的最佳實踐是什么,因為即使用戶沒有訪問我的應用程序以在后台收集信息,我也必須使用它們。 它是否只是一個數據庫,然后在我的應用程序的服務器端查詢數據庫以訪問 API? 然后刷新令牌並從數據庫中更新條目?
歡迎任何建議!
答案實際上取決於您使用的 API 客戶端的類型。 OAuth 為以下 3 種場景提供了標准解決方案。 下一步,也許讓我們知道以下哪種情況最接近您的情況:
Web UI:為最終用戶獲取令牌,然后存儲在內存中,可以通過 cookie 處理訪問令牌更新
移動用戶界面:為最終用戶獲取令牌,可以將它們存儲在操作系統特定的安全存儲中
后端流程:代表自己獲取令牌,然后將其存儲在內存中並在令牌到期時重新進行身份驗證
我的目標是將令牌存儲留給授權服務器,它內置了以安全方式執行此操作的流程。
第二個代幣商店的風險在於,流氓員工可能會搶奪代幣並作為用戶進行操作——因此值得考慮這種威脅。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.