Я хочу сохранить токен обновления oauth в браузере. Причина, по которой я хочу его сохранить, заключается в том, что приложение может обновить токен доступа и позволить пользователю продолжить сеанс без прерывания. Я также хочу исключить необходимость использования любого типа кеша на сервере для хранения токенов, что делает его сдержанным.Почему я не могу хранить токен обновления oauth в браузере?
Мне сказали, что сохранение токена обновления в браузере неверно, потому что оно небезопасно.
Я думаю, что это нормально, потому что:
- Маркеры будут храниться в HTTPOnly, защищенные куки сессии, чтобы они не должны быть уязвимы для XSS или людей в середине атак, и они будут отброшены, когда пользователь закрывает сеанс.
- Все коммуникации к серверу осуществляется через HTTPS
- Маркер обновления может быть признан недействительным, если подозрительная активность обнаружена
- Самое главное вы не можете использовать маркер обновления, если вы не знаете секрет клиента, который будет известен только сервером.
Я ошибаюсь, думая, что все в порядке? Пожалуйста, объясните, почему!