我目前正在按照本指南在Spring Boot中构建auth服务https://www.callicoder.com/spring-boot-security-oauth2-social-login-part-1/
我已经修改了它,所以当用户使用用户名和密码创建和帐户时,它也会返回一个refresh_token。
但是,当我使用let(比如facebook或google)进行Auth流时,我看到access token附加在重定向URL中(参见此处github链接)
现在阅读OAuth文档,这似乎是有道理的。但是,如何将刷新令牌也返回给用户。在URL中传递访问和刷新令牌是否安全?
这是我和我的伙伴正在做的一个辅助项目(他正在做他还没有开始的前端: D)所以我很好奇1)可以把两个令牌都放在URL2)我应该把它们设置为cookie httpOnly以某种方式给他。
您也可以在url中返回刷新标记。其他可能的解决方案是在响应正文中写入两个标记作为JSON有效负载。
关于您的其他问题,您可以安全地将刷新令牌存储在HttpOnly cookie中,因为这是持久化敏感会话相关数据的推荐方式。
