这是我的场景。用户打开我平台的身份验证页面,然后点击 Connect to Discord
按钮。用户将允许从他/她的 Discord 帐户访问我的应用程序,我将获得 code
。然后我将 code
换成 token
和 7 DAYS
生命周期。我有这些问题
- 我应该什么时候刷新访问令牌?例如,我是否应该将令牌的创建时间存储在某个地方(dB 或客户端),并且每次检查它是否接近过期时,刷新访问令牌?我不想让用户每 7 天登录一次 Discord。
- 我应该在哪里存储用户的访问令牌?在客户端或 dB 的某个地方?我的意思是在客户端存储访问令牌是否安全?将每个用户都存储在 dB 上不是更好吗?
- 如果我想将访问令牌存储在 dB 上,我应该对它进行哈希处理,对吗?如何散列访问令牌并将其存储在 dB 上并将其解密回访问令牌以调用 api? (使用 PHP)
- 我应该在哪里存储我的应用程序
CLIENT_ID
和 CLIENT_SECRET
?我现在在我的 PHP
文件中使用这些。安全吗?
非常感谢。