这是使用oauth2登录linkedin的正确工作流吗？

Question

我需要为其中一个客户端实现LinkedIn登录。这是我维护的工作流程，

1. 用户将第一次点击"LoginUsingLinkedIn“按钮。
2. 用户将被重定向到linkedin授权页面，如果他授权，我将请求一个访问令牌，并在浏览器cookie中存储相同的访问令牌。现在我打电话到linkedin，用这个令牌获取用户信息。
3. 现在让我们说，用户在2-3天后再次来到该网站，然后我首先检查是否有任何访问在cookie中存在。 3.1:，如果accesstoken存在于cookie中，我将打电话到linkedin以获取电子邮件id，如果它成功，则该访问将有效并继续进行。如果调用返回错误，那么我将用户重定向到linkedin授权页面agin。 3.2:，如果cookie中没有登录内容，用户将被重定向到linkedin auth。页面。

这是我第一次将oauth登录到任何网站。如果这个方法有任何问题，请让我来回答。

在浏览器cookie中存储这些访问信息安全吗？或者我们是否应该将授权代码存储在cookie中，并每次获得访问权限？我不确定这是否有意义。请帮帮忙。

Answer 1

这里有一些库，即使您不想使用，也可以查看一下，在我看来，最好将值存储在会话或数据库中。

如果您只需要登录，并且不像用户那样在linkedin上进行操作，那么如果用户没有登录并保存用户信息，只需获得授权即可，然后当会话过期或用户注销时，再次获得授权。

https://github.com/thephpleague/oauth2-linkedin

https://github.com/thephpleague/oauth2-client