我刚刚使用Node.js和node-oauth2-server库创建了自己的OAuth2服务器,并遵循此tutorial。
node-oauth2-server
在实施这种认证系统之后,此时的问题是这样的。
好。现在我可以将Bearer令牌存储在客户端,用户不必每次都登录,也不必存储他们的凭据。
但是,我仍在存储Bearer令牌,当被盗时,将授予任何人对令牌原始所有者的相同访问权限。
我现在可以采取什么策略,以便我可以执行以下规则:
以下是一些必须遵循的规则,以确保没有恶意JavaScript可以访问您的令牌: