OpenID、OAuth(Twitter)、OAuth 2.0(Facebook)を含む自分のWebサイトの拡張ログイン/ )サインインオプション。OpenID、OAuthおよび/またはOAuth 2.0を使用して認証された場合の各リクエストのログイン状態の評価
ユーザーが正常に認証され、自分のアクセストークンをデータベースに保存し、ユーザーをログイン状態にリンクするクッキーを書き込んだ場合、ユーザーのアクセストークンがまだ有効であることを確認するためのベストプラクティス?私のサイトへのリクエストごとに認証プロバイダを呼び出さなければならないことは、ユーザにとっては遅くなり、他のサイトが何をしているのか想像できません。
私の推測では、現在のブラウザセッションでのみ有効なCookieを保存する必要があります。したがって、ユーザーがブラウザを閉じるとCookieが期限切れになり、次のリクエストで新しいアクセストークンが生成されます新しいクッキーと一致させる)。また、ユーザーが明示的にログアウトすると、クッキーの有効期限が早くなります。
たとえば、ユーザーが自分のサイトをタブで開いていて、別のタブで認証プロバイダを開いてそのサイトからログアウトしても、自分のサイトを参照し続けている場合、技術的にはサードパーティプロバイダを使用してログアウトできるはずですが、私のサイトからはログアウトされません。
「これは本当に問題ではない」シナリオの1つですか、それとも間違った方法ですべてに近づいていますか?
私は実際にこの2日間で自分自身(アクセストークンを投げ捨てる)でこの方法を決めましたが、これが正当な行動コースであるという確認を聞いてうれしいです。役に立つ答えをありがとう。 –