将 Oauth 令牌安全保存在 Cookie 中?
Safe Keeping Oauth Tokens in a Cookie?
我一直在 cookie 中保留我的 3 条腿身份验证令牌和刷新令牌,以便我可以在重新加载后传输它们。我在本地主机上,所以我不必考虑安全问题,但很快我就会将我的 Web 应用程序放到互联网上。我知道您应该只有一个带有 viewables:read 的令牌作为唯一范围,以防止对用户数据的任何窥探。如果我用我自己的加密方法加密令牌是否安全,或者我应该将令牌保存在服务器端的 mySQL 会话中?如果我应该进行 mySQL 会话,有人可以给我 link 关于 mySQL 会话解析器 npm 扩展的教程吗?我过去没有得到它的工作。谢谢。
如果您有一个三足令牌,它将只允许访问该用户数据。如果该令牌是 viewables:read,则用户将能够查看 his/her 个模型,除此之外别无其他。您可以在 Viewer 上使用代理以避免将其发送到客户端,see a NodeJS sample。
刷新令牌对该用户无用,要实际刷新它,需要 ID 和密码(并且应该隐藏密码,例如,可以为 BIM 360 配置公开 ID)。
假设浏览器未被破坏并且您的 cookie 配置为仅使用 https,则 cookie 仅向创建它的网站公开并在传输过程中受到保护。
我用cookie-session on my sample apps, like this.
我一直在 cookie 中保留我的 3 条腿身份验证令牌和刷新令牌,以便我可以在重新加载后传输它们。我在本地主机上,所以我不必考虑安全问题,但很快我就会将我的 Web 应用程序放到互联网上。我知道您应该只有一个带有 viewables:read 的令牌作为唯一范围,以防止对用户数据的任何窥探。如果我用我自己的加密方法加密令牌是否安全,或者我应该将令牌保存在服务器端的 mySQL 会话中?如果我应该进行 mySQL 会话,有人可以给我 link 关于 mySQL 会话解析器 npm 扩展的教程吗?我过去没有得到它的工作。谢谢。
如果您有一个三足令牌,它将只允许访问该用户数据。如果该令牌是 viewables:read,则用户将能够查看 his/her 个模型,除此之外别无其他。您可以在 Viewer 上使用代理以避免将其发送到客户端,see a NodeJS sample。
刷新令牌对该用户无用,要实际刷新它,需要 ID 和密码(并且应该隐藏密码,例如,可以为 BIM 360 配置公开 ID)。
假设浏览器未被破坏并且您的 cookie 配置为仅使用 https,则 cookie 仅向创建它的网站公开并在传输过程中受到保护。
我用cookie-session on my sample apps, like this.