我正在将 OpenId 与 Keycloak 结合使用,以在 Web 应用程序中进行身份验证管理。我想使用 Keycloak 给出的 session_state 值来管理 session 数据,使用 session 的 OpenId 定义,而不是浏览器定义。我的意思是,当我登录一次并在两个选项卡中打开我的网络应用程序时,我不想有两个 session 。
将session_state存储在客户端浏览器本地存储中可以吗?
首先我考虑了刷新 token ,但后来我读到不建议将其存储在安全 cookie 之外。我没有找到任何关于 session_state 的类似建议。 session_state 不能用于访问任何数据,对吗?
最佳答案
根据OpenID Connect Session Management draft session 状态必须可以通过 Javascript 访问,以便可以保存在本地存储中(规范甚至说它可以保存在本地存储中)。
关于oauth - 将session_state存储在客户端本地存储中可以吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65956533/