使用 React 存储令牌
Store token with React
我是 Reactjs 的新手,我正在尝试使用 OpenId Connect 和 OAuth2 进行身份验证和授权。
我一直在阅读有关将令牌存储在何处的信息,联合将由用作 ID 服务器的 Azure AD B2C 完成:Facebook 和 Azure AD。
请教任何link或教程,了解如何使用 Azure B2C 在后端存储令牌。
所以我想避免将令牌存储在浏览器中。
谢谢
使用 Auth0 和 reactJS:将令牌存储在内存中并与静默身份验证结合使用。类似的方法可以用于 Azure 作为 OpenId Connect 支持 "prompt=none" 以避免在服务器中已有会话时用户交互。
在 SPA 中,将令牌存储在 HTML5 会话存储中也很常见 - 作为安全性和可用性之间的权衡 - 我在这里有一些注意事项:
https://authguidance.com/2019/09/08/ui-token-management
服务器端解决方案,例如将令牌放入 auth cookie 中,通常会违背 SPA 的目标。
请注意,会话存储是经过认证和受人尊敬的 oidc 客户端库的默认行为:
https://www.google.com/amp/s/brockallen.com/2019/01/03/the-state-of-the-implicit-flow-in-oauth2/amp/
虽然并不总是有一种适合所有情况的解决方案 - 取决于您的数据的敏感程度、是否涵盖其他风险以及您的利益相关者最关心的因素。
我是 Reactjs 的新手,我正在尝试使用 OpenId Connect 和 OAuth2 进行身份验证和授权。 我一直在阅读有关将令牌存储在何处的信息,联合将由用作 ID 服务器的 Azure AD B2C 完成:Facebook 和 Azure AD。
请教任何link或教程,了解如何使用 Azure B2C 在后端存储令牌。
所以我想避免将令牌存储在浏览器中。
谢谢
使用 Auth0 和 reactJS:将令牌存储在内存中并与静默身份验证结合使用。类似的方法可以用于 Azure 作为 OpenId Connect 支持 "prompt=none" 以避免在服务器中已有会话时用户交互。
在 SPA 中,将令牌存储在 HTML5 会话存储中也很常见 - 作为安全性和可用性之间的权衡 - 我在这里有一些注意事项: https://authguidance.com/2019/09/08/ui-token-management
服务器端解决方案,例如将令牌放入 auth cookie 中,通常会违背 SPA 的目标。
请注意,会话存储是经过认证和受人尊敬的 oidc 客户端库的默认行为: https://www.google.com/amp/s/brockallen.com/2019/01/03/the-state-of-the-implicit-flow-in-oauth2/amp/
虽然并不总是有一种适合所有情况的解决方案 - 取决于您的数据的敏感程度、是否涵盖其他风险以及您的利益相关者最关心的因素。