7
我想在瀏覽器中存儲一個oauth刷新令牌。我想在那裏存儲它的原因是,應用程序可以刷新訪問令牌並讓用戶不中斷地繼續其會話。我也想消除對服務器上任何類型的緩存的需要,以存儲令牌,從而使它有狀態。爲什麼我無法在瀏覽器中存儲oauth刷新令牌?
我被告知在瀏覽器中存儲刷新標記是錯誤的,因爲它是不安全的。
我認爲這是可以的,因爲:
- 令牌將被存儲在僅Http,安全的會話cookie所以他們不應該在中間人攻擊容易受到XSS或人,他們都將被丟棄,當用戶關閉他們的會話。
- 所有通信服務器通過HTTPS
- 如果可疑活動被檢測
- 最重要的是你不能使用刷新令牌,除非你知道這將是唯一已知客戶端機密刷新令牌可以做無效由服務器。
我錯了,認爲它應該好嗎?請解釋爲什麼!