Лучший способ хранить accessToken иrefreToken в файлах cookie.C#

Место общения программистов C#
Anonymous
Лучший способ хранить accessToken иrefreToken в файлах cookie.

Сообщение Anonymous »

В настоящее время я использую файлы cookie для аутентификации в бэкэнде .NET 9 с интерфейсом Angular 20. Сейчас я храню как accessToken, так иrefreToken непосредственно в файлах cookie.
Я пытаюсь повысить безопасность этого подхода. Я рассматриваю одну идею:
  • сохранение одного файла cookie (например, __session), который содержит объединенное или зашифрованное значение обоих токенов.
  • использование другого файла cookie (например, cookieession1) для хранения идентификатора сеанса.
Однако, Я не уверен, является ли это хорошей практикой или это вносит ненужную сложность. Кроме того, моя текущая реализация серверной/внешней части еще не полностью готова к этому должным образом.
Итак, мои вопросы:
  • Является ли объединение токенов доступа и обновления в один файл cookie хорошей идеей?
  • Лучше ли использовать подход на основе сеанса (с идентификатором сеанса в файлах cookie) вместо непосредственного хранения токенов?
  • Какой безопасный шаблон рекомендуется использовать для аутентификации с помощью файлов cookie в стеке .NET + Angular?

Вернуться в «C#»