私は自分の API を使用するためにユーザーを認証しています (信頼できるソースです)。私が特定するのに苦労しているのは、クライアント側で戻り access_token を格納するのに最適な場所はどこですか? Cookie を作成するか、ローカル ストレージにデータを保存しますか?
また、access_token のみを保存する必要がありますか? refresh_token を記録する必要がありますか? 更新トークンは何に使用されますか?
質問する
3879 次
2 に答える
0
私は最近、トークン ストレージのクライアント側のオプションをいくつか調べたので、「ブラウザベースのアプリケーションで JWT を保存する場所」で提供されている回答を参照します。
簡単に言うと、Cookie と Web ストレージの両方がアクセス トークンを格納するための適切なオプションであり、正しい選択は実際のシナリオによって異なります。
保存する必要があるものに関しては、通常はアクセス トークンのみです。リフレッシュ トークンは通常、ブラウザー ベースのアプリケーションには発行されないためです。これは、資格情報が長期間有効であるためです。ストレージ オプションにはすべて欠点があります。
ユーザーがアプリケーションと対話していないときでも、エンドユーザーが所有する保護されたリソースにクライアント アプリケーションがアクセスできるようにする場合、リフレッシュ トークンは特に重要です。通常、オフライン アクセスと呼ばれます。ブラウザー ベースのアプリケーションのほとんどのシナリオでは、依然としてユーザーがオンラインであることを暗示しているため、更新トークンが不足していてもそれほど問題にはなりません。
于 2016-11-09T09:48:13.100 に答える