Przetrzymywanie access token

0

Cześć,
przyjmijmy, że otrzymujemy z zewnątrz token dostępu do zewnętrznego API dzięki któremu możemy wykonywać wewnętrzne akcje. I teraz pytanie, gdzie przetrzymywać ten token tak aby to było najbezpieczniej? Mongo? Zwykła baza z hashowaniem przy zapisie a przy odczycie... odhashowująca(jest takie słowo? :D), trzymanie w cookies, localstorage w aplikacji?

0

@Escanor16: od miejsca trzymania tokenów ważniejsze jest żeby ich długość życia była krótka.
Zakładając że zrozumiałem o Co chodzi...

2

Jeśli tego tokena potrzebujesz (a pewnie tak jest) to hashowanie to nie jest dobry pomysł. Wręcz bardzo zły. Bo odhashowywanie generalnie zwykle jest niemożliwe/ultra trudne.
Raczej kodowanie - jeśli w ogóle. A gdzie trzymać to zależy jak korzysta się z aplikacji.
Jeśli token otrzymujemy dzięki akcji użytkownika (oauth) to trzymanie go w storage przeglądarki jest dość dobrym pomysłem, bo niejako zrzucamy problem przechowywania na użytkownika.
Niestety, w tej sytuacki jeśli użytkownik zaloguje się na innym komputerze, z innej przeglądarki to tokenu nie ma. Chcemy zrobić odpalić jakąś akcję po stronie serwera o określonej godzinie - tokenu nie ma.

W bazie trzymać można. Kodować jakimś obscure kluczem - innym dla każdego użytkownika można.

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0