【发布时间】:2019-10-21 07:45:43
【问题描述】:
我从授权服务器获取令牌,只有在令牌过期时才应调用该令牌。所以我必须将该令牌存储在客户端的某个地方。问题是,我没有数据库可以放入,我不知道使用系统文件是否是个好主意。我需要您的帮助来告诉我存储此令牌的最佳方式是什么?
【问题讨论】:
-
您打算在整个应用程序中使用该令牌吗?还是根据特定用户请求令牌?
-
根据您的问题,您从像 Oauth 这样的授权服务器获得了令牌,而您想要做的是使用从服务器获得的令牌并将其用于您的应用程序客户端?如果我的猜测是正确的。使用 cookie 将令牌存储到客户端的最佳方式。这是来自 Oauth 的链接,它将向您解释存储令牌的位置。 auth0.com/docs/security/store-tokens
-
令牌用于整个应用程序(每次处理一个令牌)。事实上,我不能将它存储在会话中,因为令牌的生存时间是 90 天:/ 我需要将它一直保存在某个地方(无论我是否重新启动我的应用程序,重新发送它......)所以 cookie 和缓存我猜这不是一个好选择..
-
为什么必须在客户端完成?
-
令牌存储在浏览器(客户端)中。因此,每次用户(使用浏览器)向您的应用程序请求时,浏览器不会提供用户名和密码,而是使用令牌将其发送到您的应用程序,您的应用程序将使用算法验证令牌。所以基本上每次他们向您的 API 端点请求时都会使用令牌。它类似于,用户登录到您的应用程序(api/login),然后服务器将验证用户名和密码,然后如果经过验证的服务器将返回包含(如果用户可以访问某个端点)的令牌,然后是您的客户端或浏览器保存