我有一个客户端API,这是一个机密客户端。当我使用开放的id提供程序进行身份验证时,我会使用授权代码重定向到我的回调,该代理会立即被交换以接收刷新令牌,访问令牌和ID令牌。
现在,我创建一个会话cookie,其中包含经过身份验证的用户的uuid。当用户提出请求时,我是否......
- 使用我的访问令牌调用provider userinfo端点以获取用户信息。
- 阅读经过验证的ID令牌以获取用户信息。
当谈到使用刷新令牌时,我看到2个选项:
- 在请求期间读取有效的ID令牌或访问令牌后,使用刷新令牌获取新的访问权限或ID令牌以存储在新的uuid中,该新的uuid将返回给具有更新cookie的用户。在要求用户登录更多时,这意味着用户会话在其不活动之后变得无效,等于访问或ID令牌的生命周期。这可能更安全。
- 使用ID令牌或访问令牌直到有效,然后刷新以获取新令牌。如果刷新永不过期,用户将永远不必再次登录,即使长时间处于非活动状态(除非cookie过期时)可能不太安全。
思想?