将 google 令牌存储在本地存储中是好习惯吗
Is it good practice to store google tokens in local storage
读了几篇文章后我有点困惑,基本上假设你有一个使用 gmail 登录进行身份验证的网络应用程序。将 google 访问令牌存储在本地存储中并通过 headers 发送以在后端 API 中进行验证是一种好习惯吗?或者我应该使用单独的机制来处理 api 级别的访问?
在前端将令牌保存在何处并不重要,因为即使在后端交换它们的情况下 - 您也需要将它们与请求一起发送。
(放在前端的所有数据都是不安全的)
因此每个人都可以在检查员网络选项卡中访问它们。
当问题涉及安全性时,第一条规则:
- 研究通过使用环境变量在后端实现它的可能性。
P.S:我刚打开Authorizing Your App with Gmail,上面写着:
开始:
要开始使用,请参阅实施服务器端授权。
因此您需要在后端处理所有授权操作,所有令牌都将受到保护。
读了几篇文章后我有点困惑,基本上假设你有一个使用 gmail 登录进行身份验证的网络应用程序。将 google 访问令牌存储在本地存储中并通过 headers 发送以在后端 API 中进行验证是一种好习惯吗?或者我应该使用单独的机制来处理 api 级别的访问?
在前端将令牌保存在何处并不重要,因为即使在后端交换它们的情况下 - 您也需要将它们与请求一起发送。 (放在前端的所有数据都是不安全的)
因此每个人都可以在检查员网络选项卡中访问它们。
当问题涉及安全性时,第一条规则:
- 研究通过使用环境变量在后端实现它的可能性。
P.S:我刚打开Authorizing Your App with Gmail,上面写着:
开始: 要开始使用,请参阅实施服务器端授权。
因此您需要在后端处理所有授权操作,所有令牌都将受到保护。