是否不鼓励在cookie中存储oauth2.0授权代码(不是在谈论访问令牌)?
为什么呢?为什么不呢?
原因是客户端是针对几个代理的生活,并且可能在它到达客户端之前经历一些重定向。我们的想法是将代码放在加密的cookie中,以便在重定向中存活并且不会暴露它。
答案 0 :(得分:1)
更大的问题是需要在cookie中存储OAuth2授权代码的用例是什么;规范声明了以下关于授权代码的内容:
授权服务器生成的授权码。 授权代码必须在发布后立即到期以降低泄漏风险。建议最长授权代码生存期为10分钟。 客户端不得多次使用授权码。如果多次使用授权代码,授权服务器必须拒绝该请求,并且应该根据该授权代码撤销(如果可能)先前发布的所有令牌。
授权代码作为GET查询参数提供,并用于交换令牌;无需存储。如果您的方案似乎需要存储此代码,那么很可能需要重新思考。 如果您不这么认为,请在原始问题中包含所有细节。