我们有许多客户使用我们的 API 来支持他们的网站。
我在工作中开始了关于使用 OAuth 进行经过身份验证的 API 调用的对话。我们将同时拥有两条和三条腿的流程。
对于三足流,我们还没有就如何存储访问令牌和秘密达成共识。
解决此问题的常用方法是让客户端将访问令牌和机密存储在自己的数据库中,但这是不可能的,因为客户端不想处理代码更改和实现问题。
我们正在考虑的其他选择:
1) 将访问令牌和秘密保存在 cookie 中
2)将它们保存在会话中。
我不确定这是否是一个好主意。有没有人有什么建议?
谢谢你。