Abbiamo un numero di client che utilizza la nostra API per alimentare i loro siti web.OAuth: memorizzazione del token di accesso e del segreto
Ho iniziato una conversazione al lavoro sull'utilizzo di OAuth per effettuare chiamate API autenticate. Avremo flussi a due, tre e tre gambe.
Per il flusso a tre gambe, non è ancora stato raggiunto un consenso su come memorizzare il token di accesso e il segreto.
L'approccio comune a questo problema consiste nell'avere che i client archivino il token di accesso e il segreto nel proprio DB, ma ciò è fuori questione poiché i client non desiderano gestire le modifiche al codice e i problemi di implementazione.
Le altre opzioni che stiamo considerando:
1) Salvare il token di accesso e segreta in un cookie
2) li Salvataggio nella sessione.
Non sono sicuro se una di queste sia una buona idea. Qualcuno ha qualche suggerimento?
Grazie.
Io personalmente paura di usare sessione/cookie per motivi di sicurezza in quanto questo è il caso di token di accesso :( –