在客户端存储令牌时，如何保护令牌？

Question

我们有一个系统，连接我们的用户和2-3第三方应用程序。因此，我们通常在客户端为用户存储用于这些应用程序的令牌。当我们对服务器(我们维护的服务器)进行API调用时，我们还将令牌发送到后端，在后端，它将用于对这些应用程序进行API调用。现在，我们不使用数据库，因此不能将这些令牌存储在服务器端并保存会话令牌。

1. 在客户端持有令牌的最佳方法是什么？他们在饼干里的时候抱着他们安全吗？
2. 在我们看来，保持它们的打开并不安全，因此我们计划向它们添加AES加密，每当将它们发送到服务器时，它们就会被解密并用于API调用。
3. 这是我们可以在保证令牌安全的同时继续使用的最佳方法吗？还是有其他更好的方法来处理这个问题？

Answer 1

如果客户机不需要使用该令牌，并且只希望将其转发给服务器，以便与第三方进行身份验证，我认为对其进行加密肯定是个好主意。这样，最终被破坏的加密令牌不能用于向第三方发出请求。

只要确保启用了Secure和HttpOnly属性(有关限制对cookie的访问的更多信息)，Cookie就应该是存储这些令牌的安全场所。简而言之，您可以防止cookie通过未加密的通道(降低遭受中间人攻击的风险)和从Javascript (这阻止您的cookie通过XSS攻击访问客户端)的风险。