ストームパスクッキーのOAuthアクセストークン

Question

Stormpath経由のOAuth 2.0トークン管理を自分のアプリケーションに統合しようとしています。現在、私はそうのようなクッキーを構築することにより、クッキーにアクセストークンを格納しています：

public Cookie buildAuthCookie(OauthGrantAuthenticationResult ogar){ 
    Cookie authCookie = new Cookie("authCookie", ogar.getAccessTokenString()); 
    authCookie.setSecure(true); 
    authCookie.setHttpOnly(true); 
    return authCookie; 
} 

などのように私の応答に取り付ける：

response.addCookie(buildAuthCookie(ogar)); 

は私がに接続する必要がある唯一のものですOAuthGrantAuthenticationResultのクッキーにアクセストークンを追加するか、それ以外に何か追加する必要がありますか？私が読んでいたドキュメント（http://docs.stormpath.com/guides/token-management/）は、クライアントがトークンタイプを渡しているようですが、クッキー内のクライアントに渡す必要があるものですか？

Answer 1

Stormpath APIの結果フォームは、token_type属性を提供します。これは、Bearerと定義されています.OAuthエンドポイントの期待されるデフォルト値です。アイデアは、「あなたを、トークンは将来の要求を認証するために使用すべきかをクライアントに通知デフォルトの戦略は<token>はあなたがgetAccessTokenString()

からもらったコンパクトなトークン文字列であるHTTPヘッダーAuthorization: Bearer <token>、通りである。しかし、あなたの場合にすることですそれをクッキーに格納して、ブラウザはCookieヘッダーでそれを送り返します。素敵でシンプルなので、クライアントがトークンについて他のことを知る必要はありません。ただし、有効期限が切れたときにブラウザが自動的にトークンを削除するように、トークンの有効期限と同じになるようにCookieの有効期限を設定する必要があります。

また、悪意のあるJavaScriptによって盗まれることのない安全なhttp専用のCookieにすることで正しいことをしているので、このアプローチは私にはかなりよく見えます。