我有一个短暂的(两个20分钟)访问令牌和刷新令牌,我想将它存储在如下的会话中,并将在任何需要的地方使用它。
session.setAttribute(ApplicationConstants.OKTA_RESPONSE,token);
请告诉我这是否正确。如果没有,请建议我可以参考的链接或文档。
提前致谢。
这取决于您的整体应用程序架构。可能是您在服务器中存储客户端应用程序的令牌以进行保护,也可能是您的服务器应用程序充当客户端。
存储令牌安全是规范的要求。因此,如果您通过已建立的机制(例如: - SSL)与前端(例如: - JSP页面)进行通信时可以保护会话值,我会说这没关系。