Google-api-nodejs-client: Menyimpan token akses & menyegarkan token

Dibuat pada 11 Nov 2017  ·  3Komentar  ·  Sumber: googleapis/google-api-nodejs-client

Di bagian "Menyegarkan Secara Manual Token Akses" di bagian Mengotorisasi dan Mengautentikasi dokumen, dikatakan "access_token Anda sekarang disegarkan dan disimpan di oauth2Client ... simpan token baru ini di tempat yang aman (mis. Basis data)"

Sesuai dengan dokumentasi manajemen identitas pada referensi pengembang di sini, disarankan bahwa token akses dan penyegaran harus disimpan di "lokasi yang aman dan berumur panjang yang dapat diakses di antara berbagai pemanggilan aplikasi Anda."

Apakah ada praktik terbaik seputar penyimpanan token refresh / akses dalam database? Jika ya, bisakah ini ditambahkan ke dokumen resmi? Saya melihat sedikit kebingungan pada stackoverflow juga untuk pertanyaan misalnya seperti apakah id_token seharusnya digunakan untuk memetakan pengguna ke token akses / penyegaran mereka di database?

Terima kasih sebelumnya!

question
Sumber
picture suparnavg
👍22

Komentar yang paling membantu

Saya ingin menabrak ini. Saya telah mencari-cari di internet dan sepertinya tidak dapat menemukan deskripsi yang bagus tentang praktik terbaik. Sebagian besar implementasi terlihat cukup rumit.

picture cameronk pada 15 Apr 2018
👍10

Semua 3 komentar

Saya ingin menabrak ini. Saya telah mencari-cari di internet dan sepertinya tidak dapat menemukan deskripsi yang bagus tentang praktik terbaik. Sebagian besar implementasi terlihat cukup rumit.

cameronk picture cameronk pada 15 Apr 2018
👍10

Ini adalah pertanyaan bagus yang menurut saya secara umum dapat diterapkan di luar Google API.

Menyimpan rahasia otentikasi itu sulit, dan cara terbaik Anda melakukannya bergantung pada konteks, penggunaan, dan persyaratan desain. Karena itu, rekomendasinya tergantung pada sistem Anda.

Idealnya, menurut saya dokumen Pengembang Google kami harus menyimpan rekomendasi apa pun di halaman ini:
https://developers.google.com/identity/protocols/OAuth2

Saat ini, kami mengatakan:

Aplikasi harus menyimpan token penyegaran untuk penggunaan di masa mendatang dan menggunakan token akses untuk mengakses Google API. Setelah token akses kedaluwarsa, aplikasi menggunakan token penyegaran untuk mendapatkan yang baru.

Saya telah menemukan panduan yang bagus untuk menyimpan kredensial di sini:
https://api.slack.com/docs/oauth-safety

Ini merujuk pada model 7-Layer OSI , yang menurut saya memberikan panduan yang baik untuk melindungi ancaman dari pengguna jahat yang secara fisik mengakses hard drive untuk mencegat permintaan jaringan.

grant picture grant pada 12 Des 2018

Salam, kami menutup ini karena tidak ada aktivitas. Beri tahu kami jika masalah perlu dibuka kembali.

fhinkel picture fhinkel pada 7 Des 2020
Apakah halaman ini membantu?
0 / 5 - 0 peringkat

Masalah terkait

streamnsight picture streamnsight  ·  4Komentar
dibeesh picture dibeesh  ·  4Komentar
ovaris picture ovaris  ·  3Komentar
oliverjessner picture oliverjessner  ·  3Komentar
JustinBeckwith picture JustinBeckwith  ·  3Komentar