我有一个网站。
该网站在登陆时跳转到托管登录页,一旦登录成功,我自己的网站就记住access_token,下次用户打开站点的时候,我们在通过refresh_token刷新一下access_token,如果用户长时间不打开,则跳转到托管登录重新登录。
我如何保存access_token和refresh_token ?是放在cookies里吗?放里面会不会不安全。
我也有同样的疑惑,不过仅针对应用软件和资源服务器属于不同对象的情况下,并且使用授权码认证模式的情况下,我很想知道这种情况将access_token暴露给前端是合理的吗?还是说有别的点我没有理解到呢?
access_token 可以保存在 cookie 或 localStorage 中,暴露给前端是合理的,refresh token 应该保存在后端,不应暴露给前端