브라우저에 oauth 새로 고침 토큰을 저장할 수없는 이유는 무엇입니까?

Question

oauth 새로 고침 토큰을 브라우저에 저장하려고합니다. 내가 거기에 저장하려는 이유는 앱이 액세스 토큰을 새로 고침하고 사용자가 세션을 중단없이 계속할 수있게하기 위해서입니다. 또한 토큰을 저장하기 위해 서버에서 캐시를 사용할 필요가 없기 때문에 상태를 유지해야합니다.

새로 고침 토큰을 브라우저에 저장하는 것은 안전하지 않으므로 잘못되었습니다. 그들은 중앙 공격 XSS 또는 사람에 취약 할 수해서는 안

• 토큰은, Http 만에 보안 세션 쿠키가 저장 될 그들이 때 사용자 삭제됩니다

  내가 있기 때문에 확인을 생각 세션을 종료합니다.

• 서버에 모든 통신은 HTTPS 의심스러운 활동이 당신이 알려진 것 클라이언트의 비밀을 알고하지 않는
이
• 가장 중요한 것은 당신이 새로 고침 토큰을 사용할 수 없습니다 감지되면 새로 고침 토큰이 무효화 될 수
• 통해 이루어집니다 서버에 의해.

나는 그것이 틀림 없다고 생각하는 잘못입니까? 이유를 설명하십시오! Http 만, 보안 쿠키에 토큰을 저장

Answer 1

아마 보안이 많다는 달성 할 수있는 최고입니다. 문제는 때때로 자바가 분명히 액세스하지 못하는 (보안상의 이유로) httpOnly 쿠키가 충분하지 않다는 점입니다. 따라서 사람들은 때로 localStorage와 같은 다른 브라우저 저장소에 토큰을 저장하거나 JavaScript 개체에서 약간 더 나은 (둘 다 httpOnly 쿠키보다 보안 성이 훨씬 떨어짐) (일부 응용 프로그램에서는 여전히 충분할 수 있음) 저장소에 저장하려고합니다.

httpOnly 및 보안 쿠키에 토큰을 저장하면 세션 ID와 거의 동일 해지며 보안은이 점에서 동일합니다 (분명히 다른 측면은 다를 수 있음).