0
是否在cookie中存儲了一個OAuth 2令牌?如果是這樣,那麼Web應用程序有哪些替代方案?在cookie中存儲OAuth令牌不良做法?
A
回答
4
我絕對不會這樣做。在涉及安全性時,您不應該將內容存儲在其他人可以訪問的地方。所以不要將它存儲在任何地方,特別是客戶端。
這就是說,這是不壞的做法,本身如果處理得當。關於它的綜合性文章見this。
+0
將它存儲在會話cookie下似乎是一個好方法。對此方法有任何異議? – Tryingitall987
+0
這一切都取決於它如何處理,如果用戶離開計算機並且不關閉瀏覽器,其他人是否可以使用令牌?我無法回答這個問題,因爲我不知道你是怎麼使用它的。有太多的事情要說,所有這些都在文章或其他資源中解釋,比我所能做到的要好,所以如果你的方法有缺陷,你必須得出你自己的結論。 – TigOldBitties
1
是否可以在cookie中存儲的依賴的access_token在以下幾件事:1。 存儲在cookie時加密或不被ACCESS_TOKEN(這絕對應該是) 2.是的access_token承載令牌,因此它不依賴於瀏覽器流動。一般而言,Cookie是爲了維護瀏覽器中的狀態。因此,如果令牌的生命週期與cookie相同,則不要繼續。當我說生命週期,我的意思是生命週期等。 3.另外,請考慮這一事實,訪問令牌不是身份令牌, 4.訪問令牌完全是客戶端和服務器,通常使用Cookie來維護會話,主要是維護匹配服務器端會話。 我希望這可以幫助。
相關問題
- 1. 使用cookie存儲oauth授權令牌
- 2. Android OAUTH令牌存儲
- 3. 在Cookie中存儲JWT令牌MVC 5
- 4. Twitter的OAuth的 - 存儲令牌在MySQL
- 5. Remember-Me-cookie - 在哪裏存儲令牌
- 6. Spring Oauth令牌存儲機制
- 7. 的OAuth的理解存儲令牌
- 8. 以角度存儲OAuth 2.0的令牌
- 9. REST OAuth 2.0存儲令牌的位置
- 10. GAE - 存儲多個OAuth訪問令牌
- 11. OAuth:存儲訪問令牌和祕密
- 12. 谷歌OAuth數據存儲令牌
- 13. 將OAuth訪問令牌保存在用戶Cookie中可以嗎?
- 14. 在VueJS中存儲身份驗證令牌的最佳做法?
- 15. 不能存儲在會話的OAuth令牌(導軌)
- 16. Cookie上的Stormpath OAuth訪問令牌
- 17. XSRF令牌應該存儲在cookie中還是會話中?
- 18. 將Oauth令牌安全地存儲在文件中
- 19. 您是否可以在Owin OAUTH 2令牌中存儲UserId?
- 20. OAuth:我應該在令牌中存儲哪些信息
- 21. 在Javascript客戶端(例如Angular)中存儲OAuth訪問令牌
- 22. 如何在MySQL和PHP中存儲和使用OAuth令牌?
- 23. 如何將Github的OAuth令牌存儲在Python腳本中?
- 24. BitBucket oauth保存令牌
- 25. 將憑證/令牌保存在cookie中?
- 26. 靜態存儲庫:良好的做法?
- 27. 爲什麼我無法在瀏覽器中存儲oauth刷新令牌?
- 28. 在oauth上緩存訪問令牌?
- 29. PayPal&oAuth令牌
- 30. Dropbox OAuth令牌
檢查[這個答案](http://stackoverflow.com/a/40376819/204699)比較了可能的選項及其在基於瀏覽器的客戶端應用程序中存儲安全令牌的優缺點。 –