cookie 保存 seesionid 还是保存 oauth2 的 token ,该用那种比较好呢?
还有第三方登录的状态该怎么怎么保存呢? 现在第三方登录都是通过 token 来授权和续签保持登录状态的。
这个好像也没有统一的标准,不过我一般的做法是,第三方登陆成功后,在客户端不再保留与第三方登陆相关的信息,而只保存本系统所产生的会话id,这样做至少可以保证,就算出现了安全问题,影响也只限于自家系统,不至于影响用户其它账号的安全性。
第三方系统登陆的状态,保存在服务器端,一般情况下,不建议客户端直接与每户三方系统交互,或者保存与第三方通信的token,因为客户端可以交互,意味着如果用其它方式拿到了客户端数据,则可以跨过本系统,直接获取第三方系统的数据——而且还是以本系统的名义。
涉及到第三方系统,务必考虑周道,记住,只保证你的系统的安全性是不够的,为用户考虑,不会错的。对于恶意的人来讲,你的系统的价值,可能根本比不上你系统中用户的价值。