标签: authentication oauth-2.0 authorization openid spotify
我正在构建一个使用授权码授予的应用程序,以根据Spotify API对用户进行授权。服务器端应用程序将用户重定向到Spotify进行身份验证,接收回授权码,然后将其交换为授权令牌。
当前,我将该令牌存储在安全的HttpOnly cookie中。当用户访问我的应用程序时,令牌将被发送并用于刷新/访问受保护的Spotify资源。
我的理解是,仅凭这些资源不足以对用户进行身份验证。
这方面的最佳做法是什么?