哪个浏览器提供的客户端存储选项更好?
访问令牌在本地存储中的存储取决于应用程序的可见性。它是一个面向公众的web应用程序还是一个内部组织的web应用程序?
如果是面向公众的web应用程序,那么访问令牌至少应该有一个短的到期时间。这是为了尽量减少活动会话被共享同一台机器的其他用户访问的可能性。
或者,您可以使用sessionStorage(参见https://developer.mozilla.org/en-US/docs/Web/API/Window/sessionStorage)
保存该值,直到浏览器窗口或浏览器选项卡关闭。这比使用localStorage稍微好一些(参见https://developer.mozilla.org/en-US/docs/Web/API/Window/localStorage)
除了使用浏览器本地或会话存储之外,您还可以实现自己的后端会话管理服务或使用基于云的会话存储提供商(如Auth0或Okta)来为您处理存储。这样,您就不必担心浏览器存储令牌的会话劫持。建议用于高用途、高可见性的面向公众的web应用程序。
读取用户详细信息可以在用户身份验证时从身份服务器获得访问令牌时完成。然后,您将不必执行额外的请求来获取其他用户详细信息。