将谷歌令牌存储在本地存储中是不是是一种好习惯

Posted

技术标签:

【中文标题】将谷歌令牌存储在本地存储中是不是是一种好习惯【英文标题】:Is it good practice to store google tokens in local storage将谷歌令牌存储在本地存储中是否是一种好习惯 【发布时间】:2019-03-24 00:30:14 【问题描述】:

读了几篇文章后我有点困惑,基本上假设您有一个使用 gmail 登录进行身份验证的网络应用程序。将谷歌访问令牌存储在本地存储中并通过标头发送以在后端 API 中进行验证是一种好习惯吗?还是应该使用单独的机制来处理 api 级别的访问?

【问题讨论】:

【参考方案1】:

在前端将令牌保存在哪里并不重要,因为即使在您将在后端交换它们的情况下 - 您也需要将它们与请求一起发送。 (所有放在前端的数据都是不安全的)

所以每个人都可以在检查器网络选项卡中访问它们。

当问题涉及安全时,第一条规则:

研究使用环境变量在后端实现该功能的可能性。

P.S:我刚打开Authorizing Your App with Gmail,里面有说:

开始: 要开始使用,请参阅实施服务器端授权

因此,您需要在后端处理所有授权操作,所有令牌都将得到保护。

【讨论】:

以上是关于将谷歌令牌存储在本地存储中是不是是一种好习惯的主要内容,如果未能解决你的问题,请参考以下文章

将 axios 响应错误存储在 axios store 中并在组件内处理它是一种好习惯吗?

如何在 Angular 8 中存储 jwt 令牌之类的数据?是不是有另一种使用本地存储或会话存储安全存储的方法?

屏蔽 JWT 自定义声明是一种好习惯吗?

在公共头文件中包含条件是不是被认为是一种好习惯?

使用 MongoDB 数据库为每个查询打开一个新连接是一种好习惯吗?

NSLayoutConstraint:针对stackview中的视图进行布局是不是是一种好习惯?