标签: asp.net security asp.net-web-api oauth
我有一个Asp.Net - Web API,配置为使用OAuth和Owin分发刷新令牌。我想从服务器端的应用程序调用API(它们不是移动的)。我的想法是在应用程序启动后检索刷新令牌(例如在Startup类中)并将其存储在服务器上的某个位置。
标准在哪里存储刷新令牌和客户端密钥的好地方? 我是否需要加密刷新令牌,还是可以安全地存储明文?
我目前的想法是将刷新令牌存储在一个文件中,并在Session中存储访问令牌。
答案 0 :(得分:1)
对于应该没问题的服务器应用程序(confidential client)。您可以使用DPAPI对文件进行加密,以降低某人从您的服务器中窃取这些文件的风险。