Come gestire OAuth2 refresh_token per l'accesso senza sessione?

2

Sto lavorando su un'app sessionless a pagina singola con accesso OAuth2 e una casella di controllo "Ricordami". Quando l'utente controlla "Ricordami" all'accesso, memorizzo il token di aggiornamento in LocalStorage per 30 giorni. Ci si sente un po 'insicuri di lasciarlo lì fino a quando l'utente non si registra nuovamente. Qual è la migliore pratica per persistere i token di aggiornamento in un ambiente senza sessione?

    
posta jwerre 27.02.2017 - 20:59
fonte

1 risposta

1

Se vuoi garantire che rimarranno loggati per 30 giorni, questo è il modo più sicuro per farlo. E sì, non è affatto sicuro. È una decisione di usabilità / sicurezza che dovrai prendere in base al rischio. Puoi fare qualcosa come crittografarlo ma dovresti memorizzare la chiave nella memoria locale, quindi non è più sicuro.

    
risposta data 01.03.2017 - 06:20
fonte

Leggi altre domande sui tag