我正在构建一个不依赖于登录系统(没有数据库)的应用程序,它将在dropbox / google驱动器和其他人上保存用户的数据
因此,当用户打开应用程序时,他使用云服务“登录”。
由于我不打算使用任何数据库,我想知道在cookie中存储用户oauth令牌(不是应用程序)是否安全。
如果有人可以访问Cookie,他可以访问我的应用上的用户数据,还需要应用令牌吗?
答案 0 :(得分:1)
这取决于使用的OAuth版本以及使用的OAuth流程。通常,OAuth访问令牌只有在可以保护时才能存储,例如存储在iPhone上的密钥链中,只有获得访问权限的应用程序/用户才能获得它。同样适用于OAuth2中的refresh token