11

我想在浏览器中存储一个 oauth 刷新令牌。我想将它存储在那里的原因是应用程序可以刷新访问令牌并让用户不间断地继续他们的会话。我还想消除服务器上任何类型的缓存来存储令牌的需要,从而使其成为有状态的。

我被告知在浏览器中存储刷新令牌是错误的,因为它不安全。

我认为没关系,因为:

  • 令牌将存储在 httpOnly 安全会话 cookie 中,因此它们不应该容易受到 XSS 或中间人攻击,并且当用户关闭会话时它们将被丢弃。
  • 与服务器的所有通信均通过 HTTPS 完成
  • 如果检测到可疑活动,刷新令牌可能会失效
  • 最重要的是,除非您知道只有服务器知道的客户端密码,否则您不能使用刷新令牌。

我认为应该没问题有错吗?请解释原因!

4

2 回答 2

6

将令牌存储在httpOnly中,安全的 cookie 可能是您在安全方面可以实现的最佳选择。有时问题是由于其他(非安全)原因,httpOnly cookie 不够好,因为 Javascript 显然没有访问权限(这就是重点)。因此,人们有时希望将令牌存储在其他浏览器存储中,例如 localStorage,或者稍微好一点的 JavaScript 对象,这两者都比 httpOnly cookie 安全性要低得多(但对于某些应用程序来说仍然足够好)。

将令牌存储在 httpOnly 和安全 cookie 中使其几乎等同于会话 id,并且在这方面它的安全性也是相同的(显然其他方面可能不同)。

于 2016-10-28T17:05:44.213 回答
0

实际上,您可以将令牌存储在浏览器中,您只需要知道哪种存储机制更适合您的解决方案。例如,在本地存储中是最不安全的,如果您的后端和单页应用程序在同一个域中,我建议您使用 cookie。

Auth0 网站对此有一些建议:

我们建议使用 Auth0 Single Page App SDK。Auth0 SPA SDK 为您处理令牌存储、会话管理和其他详细信息。

欲了解更多详情,请单击此处

于 2019-11-13T10:31:46.907 回答