7
oauthリフレッシュトークンをブラウザに保存します。私がそこに保存したい理由は、アプリケーションがアクセストークンをリフレッシュし、ユーザーがセッションを中断することなく続けることができるようにするためです。また、サーバー上にトークンを格納するためのキャッシュを必要とせず、ステートフルにしたいと考えています。ブラウザにoauth更新トークンを保存できないのはなぜですか?
ブラウザにリフレッシュトークンを格納するのが安全でないため、間違っていると言われます。
私はので、それはOKだと思う。彼らは中央の攻撃にXSSや人間に対して脆弱であってはならないと、彼らは時にユーザー破棄されますので、トークンは、HTTPのみでセキュアなセッションクッキーを保存することでしょう
- セッションを閉じます。
- サーバーへのすべての通信は、不審な活動が
- 最も重要なのは、あなただけ知られているであろう、クライアントの秘密を知っているしない限り、あなたはリフレッシュトークンを使用することはできませんが検出された場合にリフレッシュトークンが無効にすることができますHTTPS
- を介して行われますサーバーによって。
私は間違いだと思いますか?理由を説明してください! HttpOnlyの、安全なクッキーのトークンを保存する