¿Cómo manejar OAuth2 refresh_token para el inicio de sesión sin sesión?

2

Estoy trabajando en una aplicación sin sesión de una sola página con el inicio de sesión de OAuth2 y una casilla de verificación "Recordarme". Cuando el usuario marca "Recordarme" al iniciar sesión, almaceno el token de actualización en LocalStorage durante 30 días. Se siente un poco inseguro dejarlo allí hasta que el usuario vuelva a iniciar sesión. ¿Cuál es la mejor práctica para conservar los tokens de actualización en un entorno sin sesión?

    
pregunta jwerre 27.02.2017 - 20:59
fuente

1 respuesta

1

Si desea garantizar que permanecerán conectados durante 30 días, esa es la forma más segura de hacerlo. Y sí, no es seguro en absoluto. Es una decisión de usabilidad / seguridad que tendrá que tomar dependiendo del riesgo. Puede hacer algo como cifrarlo, pero también tendría que almacenar la clave en el almacenamiento local para que no sea más seguro.

    
respondido por el joe 01.03.2017 - 06:20
fuente

Lea otras preguntas en las etiquetas