Cześć,
przyjmijmy, że otrzymujemy z zewnątrz token dostępu do zewnętrznego API dzięki któremu możemy wykonywać wewnętrzne akcje. I teraz pytanie, gdzie przetrzymywać ten token tak aby to było najbezpieczniej? Mongo? Zwykła baza z hashowaniem przy zapisie a przy odczycie... odhashowująca(jest takie słowo? :D), trzymanie w cookies, localstorage w aplikacji?
0
1
@Escanor16: od miejsca trzymania tokenów ważniejsze jest żeby ich długość życia była krótka.
Zakładając że zrozumiałem o Co chodzi...
2
Jeśli tego tokena potrzebujesz (a pewnie tak jest) to hashowanie to nie jest dobry pomysł. Wręcz bardzo zły. Bo odhashowywanie generalnie zwykle jest niemożliwe/ultra trudne.
Raczej kodowanie - jeśli w ogóle. A gdzie trzymać to zależy jak korzysta się z aplikacji.
Jeśli token otrzymujemy dzięki akcji użytkownika (oauth) to trzymanie go w storage przeglądarki jest dość dobrym pomysłem, bo niejako zrzucamy problem przechowywania na użytkownika.
Niestety, w tej sytuacki jeśli użytkownik zaloguje się na innym komputerze, z innej przeglądarki to tokenu nie ma. Chcemy zrobić odpalić jakąś akcję po stronie serwera o określonej godzinie - tokenu nie ma.
W bazie trzymać można. Kodować jakimś obscure kluczem - innym dla każdego użytkownika można.