Dropbox。在web存储中存储访问令牌

Question

我正在用AngularJs开发SPA，它将与Dropbox API一起工作。我需要将dropbox访问令牌保存在web存储或cookies中，但我不确定它是否安全。

是否有任何安全存储访问令牌的机制？

谢谢。

Answer 1

当您启动oAuth会话时，DropBox为您提供的令牌可以安全地存储在浏览器的本地存储或cookie中。它是一个哈希令牌，仅适用于您的应用程序API密钥。

这是您的秘密应用程序密钥，不应存储在浏览器中。该密钥与您的DropBox应用编程接口帐户关联，只能在服务器端使用。

这个秘密钥匙应该保密。我相信你会通过存储任何浏览器的JavaScript来验证DropBox的使用条款。其次，没有安全的浏览器端存储。

https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2011/august/javascript-cryptography-considered-harmful/

如果你想继续的话。有针对JavaScript的开源加密库。

https://code.google.com/p/crypto-js/

这是徒劳的，因为在它的最后，您基本上只是将一个密钥替换为另一个密钥。在某些情况下，您的SPA需要开始使用密钥来解密某些内容，它将从哪里获得这些内容？