Le stockage d'un jeton OAuth dans les cookies est-il une mauvaise pratique?
Le stockage d'un OAuth 2 jeton dans les cookies est-il une mauvaise pratique? Si oui, quelles sont les alternatives pour une application web?
Je ne le ferais certainement pas. Lorsque la sécurité est en jeu, vous ne devez pas stocker de choses dans des endroits où les autres peuvent y accéder. Ne le stockez donc nulle part, en particulier côté client.
Cela étant dit, ce n'est pas une mauvaise pratique, en soi, si elle est gérée correctement. Voir ceci article complet à ce sujet.
La possibilité de stocker le access_token dans les cookies dépend des éléments suivants:
- Le access_token stocké dans un cookie est-il crypté ou non (il devrait certainement l'être)
- Access_token est un jeton porteur, il n'est donc pas lié aux flux du navigateur. Les cookies en général sont destinés à maintenir l'état dans les navigateurs. Donc, si le cycle de vie du jeton est identique à celui du cookie, sinon, allez-y. Quand je dis cycle de vie, je veux dire durée de vie, etc.
- Veuillez également tenir compte de ce fait également, le jeton d'accès n'est pas un jeton d'identité.
- Les jetons d'accès sont entièrement côté client, et les serveurs qui utilisent généralement des cookies pour gérer les sessions, maintiennent également la même session côté serveur.
J'espère que ça aide.
Les cookies ont une taille maximale de 4 Ko. Donc, si vous enregistrez beaucoup d'informations dans le jeton - vous obtiendrez une erreur.