是否可以配置keydepot将访问令牌/JWT存储为承载令牌而不是Cookie？

我对Key斗篷的理解（可能不正确）是，一旦用户登录并通过身份验证，访问令牌/JWT就会作为cookie存储在浏览器中（默认名称为“kc access”）

是否可以配置keydepose，将访问令牌直接存储为承载令牌，而不是存储在cookie中

当我希望使用keydepot保护web应用程序时，我会询问，但是我在身份验证方面读到的大多数资源通常都谈到存储为承载令牌的访问令牌，而不是作为cookie

---

从keydrope文档中，我看不到任何关于将访问令牌存储为Cookie或承载令牌的选项的提及-我是否误解了keydrope是如何用于为web应用程序提供身份验证的？

keydrope被用作单点登录（SSO）提供方。因此，它设计用于多个组件。它旨在通过cookie在用户浏览器上保持会话打开。此会话是KeyClope的专用会话。然后，身份验证流为应用程序提供一个令牌，该令牌对用户进行身份验证。然后，您的应用程序通常会设置自己的cookie来为用户建立会话，并避免让他们登录每个页面

当您使用Key斗篷登录时，它通过在浏览器中存储cookie来保持会话打开。此会话的长度和其他因素可在您的领域设置中配置

当您使用KeyClope登录到另一个应用程序（如web应用程序）时，您使用OpenID Connect（或SAML）作为协议，使用类似于以下的流对用户进行身份验证：

用户的浏览器将从应用程序重定向到KeyClope

它检查用户是否已经有会话，如果他们还没有登录KeyClope，则要求他们登录（并创建会话）

使用短期代码将用户重定向回您的web应用

您的应用程序连接到KeyClope，以与令牌交换代码

应用程序读取令牌以标识用户，如果需要以用户身份使用OAuth2访问第三方资源，则可能会存储令牌

应用程序创建会话cookie以保持用户的身份验证

这些步骤中的大多数应该由库处理。KeyClope为流行的框架和服务器（如Apache和Tomcat）提供了许多OpenID适配器

会话cookie可以是任何字符串，只要它们在浏览器和应用程序之间是唯一和私有的。它们通过请求从浏览器中识别用户。承载令牌通常用于身份验证或连接到无状态服务，如API

---

您可以在此处找到有关OpenID协议的文档：。

请确认-登录后，您会收到一个名为“kc access”的cookie，其中包含一个令牌？它包含访问令牌还是刷新令牌？取而代之的是，我得到了两个cookie（在我的keydape IP下），分别名为KC_RESTART和keydape_IDENTITY，它们都包含一些令牌，但都没有访问令牌和刷新令牌。