- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我创建了一个 Laravel 应用程序,它请求我的用户使用 oAuth(授权代码)访问外部应用程序。一切顺利,我可以将外部应用程序连接到我的用户帐户。但是,外部 API 为我提供了访问和刷新 token 。访问 token 显然会过期,而刷新 token 不会。
一旦用户授予我访问权限,我需要将这些 token 存储在某处。特别是刷新 token 。一旦访问 token 过期,我需要刷新访问 token 。我的“问题”是,我不太确定在哪里存储这些 token 。我想到了几个选择:
有很多选择,但我正在寻找最安全的一个。将加密 token 存储在数据库中并不是我最喜欢的选择,但却是最持久的选择。缓存可以被有意或无意地清除。清除缓存后,我需要用户再次授予我访问其帐户的权限。
存储这些凭据的最佳方式是什么?
最佳答案
What's the best way of storing these credentials?There are many options, but I'm looking for the safest one.
无论您将其存储在何处,始终以加密格式进行。这样即使泄露了它们也不能被重复使用,除非加密 key 也被泄露。
Storing the encrypted tokens in the database isn't my favorite choice, but the most persistent one.
您可以使用 session 、JWT token 或直接进入数据库来完成此操作。让我们看看选项...
如果您在 Laravel 应用程序中使用用户 session ,您可以将其加密存储在每个用户的 session 中。
Since HTTP driven applications are stateless, sessions provide a way to store information about the user across multiple requests. Laravel ships with a variety of session backends that are accessed through an expressive, unified API. Support for popular backends such as Memcached, Redis, and databases is included out of the box.
Laravel 还支持将 session 存储在加密的 cookie 中。
如果您使用 JWT token ,那么您可能正在使用 JWS token ,那么如果是这样,请将其加密存储在 JWS 声明中,甚至更好,使用 JWE token 。
JWT token 中的声明是 JWT token 有效负载中的键/值对。 JWT token 由 header.payload.signature
组成。有效负载示例:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
A JSON Web Signature (abbreviated JWS) is an IETF-proposed standard (RFC 7515) for signing arbitrary data.[1] This is used as the basis for a variety of web-based technologies including JSON Web Token.
JSON Web Encryption (JWE) is an IETF standard providing a standardised syntax for the exchange of encrypted data, based on JSON and Base64.[1] It is defined by RFC7516. Along with JSON Web Signature (JWS), it is one of the two possible formats of a JWT (JSON Web Token). JWE forms part of the JavaScript Object Signing and Encryption (JOSE) suite of protocols.
您可以在 https://jwt.io/introduction 了解有关 JWT 的更多信息。
使用对您来说更方便的数据库,即您的应用程序中已有的数据库。不要仅仅为了存储刷新 token 而引入 Redis,但如果您已经使用了 Redis,那么它可以作为替代方案,但我只是将其加密存储在您已经存储用户信息的数据库中。毕竟刷新 token 并不是您在每个请求中都执行的操作,因此性能在这里可能不是那么重要。
关于laravel - 存储外部访问/刷新 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64066894/
我们知道,当使用 hibernate 对数据库进行批量更新时(即使在 HQL 中),所做的更改不会复制到存储在当前 session 中的实体。 所以我可以调用 session.refresh 来加载对
我正在做一个项目,所有的东西都保存在事件中,所以服务器需要一些时间来响应新数据。我正在使用 Fluent 等待使用 ajax 的页面,但是这个不使用任何 ajax。所以我想刷新页面检查是否有新项目,如
我有一个从 Vector 创建的 JTable。 如何刷新 JTable 以显示添加到 Vector 的新数据? 最佳答案 当 TableModel 发生更改时,您的 JTable 应该会自动更新。我
有没有办法使用下面的代码来刷新已经存在的 div id,而不是刷新时间? window.onload = startInterval; function startInterval() {
我更新了在 Shiny Server 上运行的 Shiny 应用程序使用的 DataSet.RData。但是, Shiny 的应用程序仍在旧数据上运行。我已通过浏览器历史记录清除并重新启动浏览器几次,
我的应用程序中有一个无限滚动的网格面板(ExtJs 4.2.1),类似于 this example .用户可以单击刷新按钮,然后必须使用数据库中的数据更新网格的行。我在刷新按钮处理程序中调用 stor
我不知道这三种方法中哪一种最适合我。他们都为我工作。有谁知道刷新、更新和重画之间的区别吗? 最佳答案 根据在线文档: Refresh - 重新绘制屏幕上的控件。 Call Refresh method
有什么办法吗 ICollectionView.Refresh() 或者 CollectionViewSource.GetDefaultView(args.NewValue).Refresh(); 在
这个问题已经有答案了: Updating address bar with new URL without hash or reloading the page [duplicate] (4 个回答)
我有一个 javascript 设置超时以在 10 秒后关闭 div,并且我想在 div 关闭时添加页面刷新。我正在使用的代码如下。 var container_close_sec = "1
我有一组具有以下名称的页面.... update1.php update2.php update3.php update4.php update5.php update6.php update7.ph
如果是则触发js函数。我可以使一个复选框保持选中状态,并在页面刷新时检查值并选中“checked”,并提交以下内容... checked="checked" /> 你都不记得触发js函数。 这是我的
我正在尝试刷新 php 脚本以在数据库更新时显示更新的内容。我首先构建了我的 php,然后刷新代码,然后合并它们。但是,脚本不会更新。有谁知道为什么吗? $(document).ready
当我要删除的节点扩展集合类型时,Grails中有一个错误阻止我使用removeFrom *。直接从关联中删除节点不会更新二级缓存。 A hasMany B 有什么方法可以使关联缓存手动无效或强制重新加
我正在使用 hibernate 和 mysql 来抽象一个数据库,以便在 java 驱动的网站中使用。我使用 hibernate 很好地解决了所有查询,但似乎无法弄清楚如何使用它进行更新、插入和删除,
如何通过调用 oncreateview 方法重新创建 fragment ?我有一个 fragment ,用于通过表单插入新数据,单击按钮后,我想通过删除在 EditText 中输入的数据来重新创建 f
当我从一个到另一个时,我试图刷新我的观点。我知道我应该将刷新代码放在 viewWillAppear 中,但我不知道该放什么代码。 你们能帮帮我吗? 谢谢! 最佳答案 在您看来,请调用 setNeeds
我正在开发 iPhone 应用程序并希望使用: CFStreamCreatePairWithSocketToHost(NULL, url, port, &serverReadStream, &serv
看到我已经创建了一个用于登录用户的脚本。而且我还添加了设置选项卡,以便用户可以编辑他们的设置!但是当我尝试它时,mysql 表中的数据发生了变化,但配置文件中显示的用户名和用户电子邮件保持不变!当我注
好的。这就是它的样子。 当我启动应用程序时,我从服务器收到的第一件事是数据: {name: "test", type: "checkbox" checked: true, } 这使得其中一个复选框
我是一名优秀的程序员,十分优秀!