Oauth 在客户端存储accessToken是一种好的做法吗？

对于通过后端的API为每个数据调用后端的网站

后端首先通过其身份验证处理程序传递accessToken，或者accessToken也可以与OAuth一起传递

我想知道将accessToken存储为一个简单的Javascript变量，只对后端进行Ajax调用是安全的，还是不好的做法

---

谢谢

您可以这样做，但请确保accessToken是短期的。几小时最好。

频繁更改可能会弄乱客户端缓存，而且在服务器端保留php脚本和$\u会话['accessToken']似乎更好，糟糕的是，它不是那么RESTFul，由于accesstoken参数是由那些中间scriptsPerhaps动态添加的，如果说使用而不是存储，这个问题会更有意义，因为没有真正的长期或持久存储发生？还有，难道没有OAuth Javascript库用于这类事情吗？是的，我不太了解OAuth，但在我的例子中，我最担心的是，如果用户在没有正确关闭服务器会话的情况下断开连接，任何人都可以通过检索accessToken浏览器历史、网络debigger firebg、chrome等来访问它。。。