2016-12-07 83 views
1

是否不願意在cookie中存儲oauth2.0授權碼(而不是談論訪問令牌)?是否不鼓勵將oauth2.0授權碼存儲在cookie中?

爲什麼?爲什麼不?

作爲客戶端的原因是它的目標是爲多個代理服務器後面的生活,並且在到達客戶端之前可能會經歷幾次重定向。我們的想法是將代碼放入一個加密的cookie中以便持久化,以便在重定向中存活並且不會暴露它。

回答

1

更大的問題是需要在cookie中存儲OAuth2授權代碼的用例是什麼;該規範說明了關於授權碼的以下內容:

授權服務器生成的授權碼。 授權碼必須在發佈後不久後過期以減少泄漏風險。推薦使用10分鐘的最長授權代碼。 客戶端不得多次使用授權碼。如果授權碼被多次使用,授權服務器必須拒絕該請求,並且應該根據該授權碼撤銷(如果可能的話)以前發佈的所有令牌。

授權碼作爲GET查詢參數提供並用於令牌交換;無需存儲。如果您的方案似乎需要存儲此代碼,那麼它很可能需要重新考慮。 如果您認爲不然,那麼在您的原始問題中包含所有細節。

+0

更新的問題與細節 – user366735

相關問題