可以将 OAuth 访问令牌保留在用户的 cookie 中吗?

Posted

技术标签:

【中文标题】可以将 OAuth 访问令牌保留在用户的 cookie 中吗?【英文标题】:Is it OK to keep OAuth access token in user's cookie? 【发布时间】:2012-07-20 18:12:40 【问题描述】:

我认为没关系,但我想我会看看其他人的想法。

具体来说,令牌字符串将是 asp.net FormsAuthentication 票证的用户数据字符串的一部分,因此将被加密。当然,相关的秘密不会存储在任何 cookie 中。

【问题讨论】:

只要在用户注销后或会话失效时取消设置cookie就可以了。但是,这不是最佳做法,应尽可能避免。 【参考方案1】:

在某些情况下,将 OAuth 访问令牌存储在用户的 cookie 中没有技术问题。诸如您仅在会话生命周期内访问受保护资源并且不期望访问受保护资源的能力将在用户会话期间保持的情况。

【讨论】:

以上是关于可以将 OAuth 访问令牌保留在用户的 cookie 中吗?的主要内容,如果未能解决你的问题,请参考以下文章

如何在 Postman 集合中保留 OAuth2 令牌(或使用刷新令牌)?

如何以管理员用户身份撤销用户的访问令牌和刷新令牌?在 Oauth2 中使用 JWT

可以在服务之间传递 OAuth 访问令牌吗?

iOS 5 Twitter 框架。获取用户的 OAuth 访问令牌

在 Twitter 上验证 OAuth 令牌

对 OAuth 的访问令牌保密有多重要?