我正在构建一个使用授权代码授权来针对Spotify API授权用户的应用程序。 服务器端应用程序将用户重定向到Spotify进行身份验证,接收授权代码,然后将授权代码交换为授权令牌。
目前我将该令牌存储在一个安全的HttpOnly cookie中。 当用户访问我的应用程序时,令牌将被发送并用于刷新/访问受保护的Spotify资源。
我的理解是,这还不足以根据这些资源对用户进行身份验证。
这有什么最好的做法?