OIDC 访问令牌 - 存储在哪里？

Question

我们知道 OpenIDConnect 涉及三个令牌：

1. OIDC 中的访问令牌默认为随机唯一字符串，未使用 JWT 编码。
2. ID 令牌使用 JWT 进行编码
3. 刷新令牌

我们通常在 httpOnly 模式下将 ID 令牌放在 cookie 中。

我的问题是，访问令牌的推荐存储在哪里？您肯定需要将它们存储在应用程序端。

Answer 1

您可以将令牌存储在任何您喜欢的地方，但最常见的方法是：

• 将令牌存储在 cookie 中。如果令牌很大，那么这可能是一个问题，因为 cookie 可能会变得非常大。
• 将令牌存储在内存或数据库的缓存中，并将对它们的“引用”存储在会话 cookie 中。

ID 令牌的生命周期通常很短（例如来自某些提供商的 5 分钟），它用于创建本地“用户”对象。