这个问题可以看作是对:如何保存刷新令牌的后续问题。
我有一个本机 Windows 应用程序,它使用 keycloak 进行身份验证和开放 id 连接。为了让用户登录,该应用程序显示了一个 Web 视图,该视图被定向到由 keycloak 生成的登录页面。用户成功登录后,keycloak 会发送一个被应用拦截的重定向。通过这种方式,应用程序获取授权码,然后使用该码从 keycloak 检索访问和刷新令牌。到目前为止,这遵循授权代码流程,并且(我认为)所有这些都符合本机应用程序的最佳实践。
但是,当用户在登录页面中选中“记住我”选项时,会发生更多事情。创建了一些持久性 cookie:KEYCLOAK_SESSION、KEYCLOAK_IDENTITY 和 KEYCLOAK_REMEMBER_ME。当用户下次打开应用程序时,这些cookies被发送到keycloak,如果服务器端的会话还没有过期,则跳过登录页面,直接对用户进行身份验证。
这些 cookie 是否等同于用户凭据?它们是安全问题吗?
持久性 cookie 存储在用户的硬盘上。我不确定它们是否总是加密存储。
在安全方面,在硬盘上存储刷新令牌有什么区别?