Mamy wielu klientów, którzy używają naszego API do zasilania swoich stron internetowych.OAuth: przechowywanie tokena dostępu i tajemnicy
Rozpocząłem rozmowę w pracy na temat używania protokołu OAuth do uwierzytelniania wywołań interfejsu API. Będziemy mieli przepływy zarówno dwu, jak i trójnożne.
W przypadku potrójnego kroku nie doszliśmy jeszcze do porozumienia co do sposobu przechowywania tokenu dostępu i sekretu.
Wspólnym podejściem do tego problemu byłoby przechowywanie przez klientów tokenu dostępu i tajnego klucza we własnej bazie danych, ale nie wchodzi to w grę, ponieważ klienci nie chcą zajmować się zmianami kodu i problemami z implementacją.
Inne opcje Rozważamy:
1) Zapisywanie i tajny token dostępu w pliku cookie
2) zapisywanie ich w sesji.
Nie jestem pewien, czy któryś z nich jest dobrym pomysłem. Czy ktoś ma jakieś sugestie?
Dziękuję.
Osobiście boi się używać Session/Cookie ze względów bezpieczeństwa, jak to jest w przypadku token dostępu :( –