将oAuth 2.0令牌存储在Cookies中 - 好主意?

时间:2017-11-09 08:39:39

标签: authentication asp.net-web-api cookies google-chrome-extension oauth-2.0

快速背景,

  • 我已经构建了一个API,通过oAuth 2.0对用户进行身份验证并返回令牌
  • 我已经构建了chrome扩展,允许用户输入登录详细信息并向API发送请求以进行身份​​验证

问题:

  

当用户勾选" Remember Me"时,如何让用户登录到   我的扩展,我是否将令牌存储在Cookies中?

     

如果用户更改其他设备上的密码该怎么办?   重新认证对吗?但如果我从饼干中获取令牌,那么   当我使用ASP.NET时,那些令牌在我的服务器上仍然有效   我的API中的标识使令牌有效期为14天。

我将很高兴知道这些问题的答案。

谢谢

1 个答案:

答案 0 :(得分:1)

在扩展程序中,最好使用chrome.identity API来安全存储令牌。

更改密码是需要在服务器端处理的事情;先前发布的令牌应根据需要失效(并且客户端中的后续auth失败应触发交互式重新身份验证)。

相关问题
最新问题