在 cookie 中存储 OAuth 2 token 是否是一种不好的做法?如果是这样,网络应用程序的替代方案是什么?
最佳答案
是否可以将 access_token 存储在 cookie 中取决于以下几点:
- 存储在 cookie 中的 access_token 是否加密(绝对应该加密)
- Access_token 是一个不记名 token ,因此它不依赖于浏览器流。 Cookie 通常用于维护浏览器中的状态。因此,如果 token 的生命周期与 cookie 相同,则继续,否则不继续。当我说生命周期时,我指的是生命周期等。
- 此外,请考虑访问 token 不是身份 token 这一事实
- Access token 完全是客户端的,一般使用 cookie 来维护 session 的服务器,大多也维护匹配的服务器端 session 。
希望对您有所帮助。
关于html - 在 cookie 中存储 OAuth token 是不好的做法吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41076736/