2

我正在构建一个不依赖于登录系统(无数据库)的应用程序,它将用户的数据保存在 dropbox/google 驱动器和其他设备上

因此,当用户打开应用程序时,他使用云服务“登录”。

由于我不打算使用任何数据库,我想知道将用户 oauth 令牌(不是应用程序令牌)存储在 cookie 中是否安全。

如果有人可以访问 cookie,他可以访问我的应用程序上的用户数据,它还需要应用程序令牌吗?

4

1 回答 1

1

这取决于使用的 OAuth 版本和使用的 OAuth 流程。通常,只有在可以保护 OAuth 访问令牌的情况下才能存储 OAuth 访问令牌,例如存储在 iPhone 上的密钥链中,只有授予访问权限的应用程序/用户才能获取它。同样适用refresh token于 OAuth2

于 2012-05-23T15:51:15.427 回答