サーバー上のユーザーデータを暗号化する Web アプリケーションを開発しています。ユーザーがフォーム認証を介してログインすると、パスワードがあり、データを復号化できます。
ただし、ユーザーが OAuth2 を介してアプリを承認する場合、元のパスワードは、アクセス トークンと更新トークンの作成中にのみ使用できます。したがって、このステップでは、データを復号化するための別のキーを生成し、それをアクセス トークンに保存します (そのため、ユーザー パスワードを送信せず、必要に応じてこのキーを失効させることができます)。
ただし、アクセス トークンの有効期限が切れ、更新トークンを使用して新しいトークンを作成すると、別のキーを作成するためのユーザー パスワードがなくなり、このプロセスが中断されます。DotNetOpenAuth を使用して、キーをアクセス トークンに格納できましたが、リフレッシュ トークンには格納できませんでした。
リフレッシュトークンに余分なデータを保存することはできますか? クライアントが OAuth を使用した最初の承認時にサーバーからキーをフェッチする別の方法を考えることができますが、アクセス フローが中断されるため、このアプローチは好きではありません。クライアントは、この追加データを安全に保存し、リクエストごとに再送信する必要があります。