Google-api-nodejs-client: Stockage des jetons d'accès et des jetons d'actualisation

Créé le 11 nov. 2017  ·  3Commentaires  ·  Source: googleapis/google-api-nodejs-client

Dans la section «Actualisation manuelle du jeton d'accès» de la section Autorisation et authentification de la documentation, il est dit «votre jeton d'accès est maintenant actualisé et stocké dans oauth2Client ... stockez ces nouveaux jetons dans un endroit sûr (par exemple, une base de données)»

Conformément à la documentation de gestion des identités sur la référence des développeurs ici, il est recommandé que les jetons d'accès et d'actualisation soient stockés dans «un emplacement sécurisé et durable, accessible entre les différentes invocations de votre application».

Existe-t-il des meilleures pratiques concernant le stockage des jetons d'actualisation / d'accès dans une base de données? Si tel est le cas, pourrait-il être ajouté à la documentation officielle? Je vois également un peu de confusion sur stackoverflow pour des questions telles que le id_token est-il censé être utilisé pour mapper un utilisateur à ses jetons d'accès / d'actualisation dans la base de données?

Merci d'avance!

question
Source
picture suparnavg
👍22

Commentaire le plus utile

Je voudrais bousculer ça. J'ai fait des recherches en ligne et je n'arrive pas à trouver de bonnes descriptions des meilleures pratiques. La plupart des implémentations semblent assez complexes.

picture cameronk le 15 avr. 2018
👍10

Tous les 3 commentaires

Je voudrais bousculer ça. J'ai fait des recherches en ligne et je n'arrive pas à trouver de bonnes descriptions des meilleures pratiques. La plupart des implémentations semblent assez complexes.

cameronk picture cameronk le 15 avr. 2018
👍10

C'est une bonne question qui, je pense, est généralement applicable au-delà des API Google.

Le stockage des secrets d'authentification est difficile et la meilleure façon de procéder dépend du contexte, de l'utilisation et des exigences de conception. En tant que telles, les recommandations dépendent de votre système.

Idéalement, je pense que nos documents Google Developer devraient stocker toutes les recommandations dans cette page:
https://developers.google.com/identity/protocols/OAuth2

Actuellement, nous disons:

L'application doit stocker le jeton d'actualisation pour une utilisation future et utiliser le jeton d'accès pour accéder à une API Google. Une fois le jeton d'accès expiré, l'application utilise le jeton d'actualisation pour en obtenir un nouveau.

J'ai trouvé un bon guide sur le stockage des informations d'identification ici:
https://api.slack.com/docs/oauth-safety

Il fait référence au modèle OSI à 7 couches , qui, à mon avis, fournit un bon guide pour protéger les menaces d'un utilisateur malveillant accédant physiquement aux disques durs pour intercepter les demandes réseau.

grant picture grant le 12 déc. 2018

Salutations, nous fermons cela en raison de l'inactivité. Veuillez nous informer si le problème doit être rouvert.

fhinkel picture fhinkel le 7 déc. 2020
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

ashishbajaj99 picture ashishbajaj99  ·  3Commentaires
oliverjessner picture oliverjessner  ·  3Commentaires
dibeesh picture dibeesh  ·  4Commentaires
hainguyents13 picture hainguyents13  ·  3Commentaires
skiod picture skiod  ·  3Commentaires