在OAuth2.0中,该选项可以将客户端凭据(消费者密钥和机密)作为发布参数或与HTTP传输标头一起发送。现在,大多数身份提供商都支持这两种身份。
但是应该采用哪种最佳实践?即使供应商都支持,从客户端程序的角度来看,应该使用哪种最佳方法?
答案 0 :(得分:0)
好问题!答案取决于所使用的应用程序和OAuth授权类型:P
如果您要谈论的是Web应用程序(可能具有隐式流程),请形成一个 client 透视图,然后使用cookie可能会更好,因为它们不易受到利用技术的攻击。</ p >
本文可能为您https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage#jwt-cookie-storage阐明了详细信息。