OpenId 访问令牌更新值客户端
OpenId Access Token updating values client side
我有一个 AllowEmailNotifications 声明,允许用户在他们的个人资料客户端打开和关闭通知。我最初在他们的用户配置文件对象中有这个值,该对象存储在 sessionStorage 客户端中,当他们切换这个值时,它在数据库中更新以及 sessionStorage。
将此值移动到访问令牌并更新也存储在会话存储中的访问令牌客户端是否安全,或者这是否被视为篡改令牌?我需要它在服务器端,还是我应该调用数据库以在 Web 服务中获取此值?
我不确定通过应用而不是授权提供商更新访问令牌中的值的最佳做法是什么?
绝对不应在客户端更新访问令牌。
您的客户需要签名密钥,否则令牌的签名将是错误的并且不再被接受。
我会把设置保存在数据库中,需要时从那里获取。
我有一个 AllowEmailNotifications 声明,允许用户在他们的个人资料客户端打开和关闭通知。我最初在他们的用户配置文件对象中有这个值,该对象存储在 sessionStorage 客户端中,当他们切换这个值时,它在数据库中更新以及 sessionStorage。
将此值移动到访问令牌并更新也存储在会话存储中的访问令牌客户端是否安全,或者这是否被视为篡改令牌?我需要它在服务器端,还是我应该调用数据库以在 Web 服务中获取此值?
我不确定通过应用而不是授权提供商更新访问令牌中的值的最佳做法是什么?
绝对不应在客户端更新访问令牌。 您的客户需要签名密钥,否则令牌的签名将是错误的并且不再被接受。
我会把设置保存在数据库中,需要时从那里获取。