是否不鼓勵將oauth2.0授權碼存儲在cookie中？

Question

是否不願意在cookie中存儲oauth2.0授權碼（而不是談論訪問令牌）？

爲什麼？爲什麼不？

作爲客戶端的原因是它的目標是爲多個代理服務器後面的生活，並且在到達客戶端之前可能會經歷幾次重定向。我們的想法是將代碼放入一個加密的cookie中以便持久化，以便在重定向中存活並且不會暴露它。

Answer 1

更大的問題是需要在cookie中存儲OAuth2授權代碼的用例是什麼;該規範說明了關於授權碼的以下內容：

授權服務器生成的授權碼。 授權碼必須在發佈後不久後過期以減少泄漏風險。推薦使用10分鐘的最長授權代碼。 客戶端不得多次使用授權碼。如果授權碼被多次使用，授權服務器必須拒絕該請求，並且應該根據該授權碼撤銷（如果可能的話）以前發佈的所有令牌。

授權碼作爲GET查詢參數提供並用於令牌交換;無需存儲。如果您的方案似乎需要存儲此代碼，那麼它很可能需要重新考慮。 _{如果您認爲不然，那麼在您的原始問題中包含所有細節。}