Это хорошая практика, чтобы хранить токены Google в локальном хранилище

Question

Это хорошая практика, чтобы хранить токены Google в локальном хранилище

Я немного растерялся, прочитав несколько статей, в основном предполагая, что у вас есть веб-приложение, которое использует gmail для аутентификации. Полезно ли хранить токен доступа Google в локальном хранилище и отправлять его через заголовки для проверки в интерфейсных API-интерфейсах? или я должен использовать отдельный механизм для обработки доступа на уровне API?

1

reactjs api security websecurity nodeapi

Источник

user8818976 19 окт '18 в 06:22

1 ответ

Решение

Другие вопросы по тегам reactjs api security websecurity nodeapi

user4591347 19 окт '18 в 06:37 2018-10-19 06:37 · Accepted Answer · 2018-10-19 06:37

Неважно, где вы будете сохранять токены во внешнем интерфейсе, потому что даже в случае, когда вы будете обменивать их с внутренним сервером - вам нужно будет отправить их с запросом. (все данные, которые размещены на внешнем интерфейсе, не защищены)

Таким образом, каждый будет иметь доступ к ним на вкладке сети инспектора.

Когда возникает вопрос о безопасности, первое правило:

Исследуйте возможность реализовать это на внутреннем уровне, используя переменные среды.

PS: я только что открыл Авторизацию вашего приложения с помощью Gmail и там написано:

Начало работы: Чтобы начать, см. Реализация авторизации на стороне сервера.

Таким образом, вам нужно обработать все действия авторизации на бэк-энде, где будут защищены все токены.