我是OAuth 2.0新手,我想知道在通用电子商务网站中存储访问令牌和刷新令牌的最佳实践/位置是什么。
问题1:
访问令牌和刷新令牌应存储在网站的何处?(Cookie、web存储或本地存储)。谷歌、dropbox等大公司在哪里存储访问令牌和刷新令牌?
问题2:
如果刷新令牌存储在客户端(在台式机/笔记本电脑中使用浏览器),是否有人在该设备上拥有物理增益,能够获取刷新令牌和设备信息,并使用它在其他位置生成访问令牌?
问题3:
我看到一些帖子建议刷新令牌永远不应该被客户端存储和知道。那么,刷新令牌应该存储在哪里,在这种情况下如何重新认证?
A1:访问令牌的生存时间比刷新令牌短得多,您可以将刷新令牌存储在本地存储中,甚至服务器端的其他安全存储中;对于访问令牌,网络存储和本地存储都可以;将访问令牌存储在cookie中不会多有意义
A2:是,因此刷新令牌不应存储在客户端;
A3:存储在服务器/服务端
