oauth2.0認証コード(アクセストークンについては言及していません)をクッキーに保存することをお勧めしますか?oauth2.0認証コードをクッキーに保存することをお勧めしますか?
なぜですか?何故なの?
クライアントである理由は、複数のプロキシの背後にある生命を対象としており、クライアントに到達する前に数回のリダイレクトを行う可能性があるからです。その考えは、コードを暗号化されたクッキーに入れて、永続性がリダイレクトから解放され、公開されないようにすることでした。
さらに大きな問題は、OAuth2認証コードをCookie内に保存する必要がある場合です。この仕様書は、認証コードについて以下のように述べている。
認証サーバーによって生成された認証コード。承認コードは、漏れのリスクを軽減するためにが発行された直後に期限切れになっていなければならない(MUST)。10分の最大認証コード有効期間が推奨されます。 クライアントは、認証コードを2回以上使用してはいけません。認証コードが複数回使用される場合、認可サーバーは要求を拒否しなければならず(可能な場合)、以前にその認可コードに基づいて発行されたすべてのトークンを取り消さなければならない(SHOULD)。
認可コードは、GETクエリパラメータとして提供され、トークンの交換に使用されます。ストレージの必要はありません。シナリオでこのコードの格納が必要な場合は、再考する必要があります。 そうでないと思われる場合は、元の質問にすべての詳細を含めてください。
更新された質問 – user366735