我一直在保留我的3条腿认证令牌和刷新令牌,然后我可以在重新加载后转移它们。我在localhost上,所以我没有考虑安全性,但很快我将把我的网络应用程序放在互联网上。我知道你应该只有一个带有可查看的令牌:读作唯一的范围,以防止任何窥探用户的数据。如果我使用自己的加密方法加密令牌,或者我应该将令牌保存在服务器端的mySQL会话中,它是否安全?如果我应该进行mySQL会话,有人可以给我一个关于mySQL会话解析器npm扩展的教程的链接吗?我过去没有工作。感谢。
答案 0 :(得分:0)
如果您有一个3条腿令牌,只能访问该用户数据。如果该令牌为viewables:read,则用户将能够查看他/她的模型,而不是其他任何内容。您可以在Viewer上使用代理,以避免将其发送到客户端see a NodeJS sample。
刷新令牌对该用户没用,实际上刷新了ID&需要秘密(并且隐藏秘密,例如,可以公开ID用于BIM 360配置。)
假设浏览器没有受到损害,并且您的cookie配置为仅使用https,那么Cookie只会在创建转移过程中的网站上公开并受到保护。
我在示例应用cookie-session上使用like this。