我有一个声明AllowEmailNotifications,允许用户在其个人资料客户端中打开和关闭通知。我最初在他们的用户配置文件对象中有这个值,它存储在sessionStorage客户端,在数据库中更新,以及在切换此值时sessionStorage。
将此值移动到访问令牌并更新存储在会话存储中的访问令牌客户端是否安全,或者这被视为篡改令牌?我需要服务器端,还是应该只调用数据库来获取Web服务中的这个值?
我不确定通过应用而不是授权提供商更新访问令牌中的值会被视为最佳做法?
答案 0 :(得分:2)
绝对不应在客户端更新访问令牌。 您的客户端需要签名密钥,否则令牌的签名将是错误的,不再被接受。
我会将设置保留在数据库中,并在需要时从那里获取。