所以我正在使用 tauri 和 rust 制作一个桌面应用程序,我只是想知道为 google oauth 保存令牌的最佳实践是什么。我目前正在做的就是尝试保存 oauth 刷新令牌并在每次打开应用程序时获取新的访问令牌。我这样做只是因为它会让我的实现更加简单。
这样做有什么缺点吗?我仍然不知道它是否有效,因为我还没有完全实现它。
我认为您描述的解决方案存在一些缺点。一件事是您必须将令牌存储在台式计算机上的某个位置。这可能会使令牌容易受到攻击,除非您可以将其加密或存储在安全的飞地中。此外,桌面客户端是公共客户端,因此任何人只要设法获得刷新令牌,都可以根据刷新令牌获取令牌。
在我看来,最好让用户每次打开应用程序时都从 Google 获得一个新的令牌。它不会增加太多的麻烦,但会提高应用程序的安全性。