我正在开发一个 Java CLI 应用程序,该应用程序设法从 OpenId 提供程序检索 OAuth 令牌。我需要保存这个令牌,这样当用户再次运行 CLI 时,如果它没有过期,我可以重新使用它;否则只需使用刷新令牌来请求新令牌。
这是我第一次将 OAuth 集成到需要保留 OAuth 令牌的 Java CLI 应用程序中。这引起了一些担忧,我想得到一些意见:
在本地存储这些令牌是否安全?特别考虑到浏览器每次都会在 cookie 或其他会话存储中这样做。我计划在几天内获得令牌到期时间(我知道这并不理想,但这是要求之一)。
如果上面的答案是肯定的,那么安全的方法是什么?是否必须加密或平面文本是否可以接受?
存储到钥匙串之类的东西有意义吗?如果是,有没有办法以独立于平台的方式做到这一点?