这是我的场景。用户打开我平台的身份验证页面,然后点击 Connect to Discord 按钮。用户将允许从他/她的 Discord 帐户访问我的应用程序,我将获得 code。然后我将 code 换成 token 和 7 DAYS 生命周期。我有这些问题
- 我应该什么时候刷新访问令牌?例如,我是否应该将令牌的创建时间存储在某个地方(dB 或客户端),并且每次检查它是否接近过期时,刷新访问令牌?我不想让用户每 7 天登录一次 Discord。
- 我应该在哪里存储用户的访问令牌?在客户端或 dB 的某个地方?我的意思是在客户端存储访问令牌是否安全?将每个用户都存储在 dB 上不是更好吗?
- 如果我想将访问令牌存储在 dB 上,我应该对它进行哈希处理,对吗?如何散列访问令牌并将其存储在 dB 上并将其解密回访问令牌以调用 api? (使用 PHP)
- 我应该在哪里存储我的应用程序
CLIENT_ID 和 CLIENT_SECRET?我现在在我的 PHP 文件中使用这些。安全吗?
非常感谢。