我一直在修改Laravel应用,该应用允许用户使用其他应用的API中的数据。当他们最初通过OIDC登录到另一个应用程序时,它将为服务提供令牌和刷新令牌。我希望我的应用能够在他们不再登录时代表他们工作,因此我需要在本地存储刷新令牌。
我的问题是我应该在哪里安全地存储身份验证令牌/刷新令牌?将它放在我的本地数据库和user表/模型中是否足够?是否需要加密?似乎加密效果不佳,因为它必须是可逆加密(而不是单向哈希),因为令牌需要不加密才能使用。
根据https://api.slack.com/docs/oauth-safety#safe_token_storage,看来我做得正确(假设最佳做法是:服务器上的2FA,遵循SSL连接等)。