Sto utilizzando Google OAuth 2.0 per fornire accessi al mio sito (uno strumento interno di rinkydink per altri sviluppatori della mia azienda da utilizzare, quindi la sicurezza non è fondamentale, ma ci sono alcune restrizioni di accesso) Tuttavia, una volta effettuato l'accesso , Non ho bisogno di accedere a qualsiasi altra risorsa Google - Ho appena ricevuto l'email dell'utente e considero l'utente che ha effettuato l'accesso. Come viene fatto in genere? Le opzioni che vedo sono ...
A. Archivia questo accesso in un cookie e non contattare mai più Google (almeno fino a quando il cookie scade o l'utente si disconnette manualmente)
B. Avere un cookie a lungo termine che memorizza una chiave (il server memorizza il codice OAuth) e re-autenticare quando l'utente vuole eseguire un'azione sensibile.
C. Avere un cookie a lungo termine che memorizza una chiave (il server memorizza il codice OAuth) e un cookie di sessione a breve termine che scade quando chiudi il browser. Ogni volta che accedono per la prima volta alla pagina, effettuo nuovamente l'autenticazione una volta e fornisco loro questo cookie di sessione.