哪个浏览器提供的客户端存储选项更好?
问问题
626 次
1 回答
1
在本地存储中存储访问令牌取决于应用程序的可见性。它是面向公众的 Web 应用程序还是内部组织的 Web 应用程序?
如果是面向公众的 Web 应用程序,则访问令牌至少应具有较短的有效期。这是为了尽量减少共享同一台机器的其他用户访问活动会话的可能性。
或者,您可以使用 sessionStorage(请参阅https://developer.mozilla.org/en-US/docs/Web/API/Window/sessionStorage)
它将值存储到浏览器窗口或浏览器选项卡关闭为止。这比使用 localStorage 稍微好一些(参见https://developer.mozilla.org/en-US/docs/Web/API/Window/localStorage)
除了使用浏览器本地或会话存储之外,您还可以实现自己的后端会话管理服务或使用基于云的会话存储提供程序(例如 Auth0 或 Okta)来为您处理存储。这样您就不必担心浏览器存储令牌的会话劫持。建议将其用于高使用率、高可见性的面向公众的 Web 应用程序。
当您在用户通过身份验证时从身份服务器获取访问令牌时,可以读取用户详细信息。这样您就不必执行其他请求来获取其他用户详细信息。
于 2021-10-04T00:46:49.547 回答