在下一个身份验证会话中存储访问令牌是否安全?
Is it safe to store access token in next-auth session?
我想要在next.js中访问client side中的客户详细信息,我需要将customer access token传递给后端API。使用 next-auth,我能够将访问令牌存储到会话中,但是使用 next.js api route 和 getToken 函数安全还是更好?我仍然是前端安全的初学者,我不知道我是否只是一个偏执狂,但我找不到 topic/post 声明它是完全安全的。
因此默认情况下会话策略设置为 jwt,这意味着您的会话已编码/签名并且可以安全地存储敏感信息。
但是,NextAuth.js 可用于通过 jwt 回调自动将您从 OAuth 提供程序获得的 accessToken 放入 JWT 令牌中。因此,您可以使用您提到的 getToken() 方法将其拉出任何地方,并根据 Google API 进行身份验证以供进一步使用(获取驱动器内容、联系人等)。
查看此示例以了解如何在 jwt 回调中执行此操作:https://github.com/nextauthjs/next-auth-refresh-token-example/blob/57f84dbc50f30233d4ee389c7239212858ecae14/pages/api/auth/%5B...nextauth%5D.js#L67
我想要在next.js中访问client side中的客户详细信息,我需要将customer access token传递给后端API。使用 next-auth,我能够将访问令牌存储到会话中,但是使用 next.js api route 和 getToken 函数安全还是更好?我仍然是前端安全的初学者,我不知道我是否只是一个偏执狂,但我找不到 topic/post 声明它是完全安全的。
因此默认情况下会话策略设置为 jwt,这意味着您的会话已编码/签名并且可以安全地存储敏感信息。
但是,NextAuth.js 可用于通过 jwt 回调自动将您从 OAuth 提供程序获得的 accessToken 放入 JWT 令牌中。因此,您可以使用您提到的 getToken() 方法将其拉出任何地方,并根据 Google API 进行身份验证以供进一步使用(获取驱动器内容、联系人等)。
查看此示例以了解如何在 jwt 回调中执行此操作:https://github.com/nextauthjs/next-auth-refresh-token-example/blob/57f84dbc50f30233d4ee389c7239212858ecae14/pages/api/auth/%5B...nextauth%5D.js#L67