Я пытаюсь повысить безопасность этого подхода. Я рассматриваю одну идею:
- сохранение одного файла cookie (например, __session), который содержит объединенное или зашифрованное значение обоих токенов.
- использование другого файла cookie (например, cookieession1) для хранения идентификатора сеанса.
Итак, мои вопросы:
- Является ли объединение токенов доступа и обновления в один файл cookie хорошей идеей?
- Лучше ли использовать подход на основе сеанса (с идентификатором сеанса в файлах cookie) вместо непосредственного хранения токенов?
- Какой безопасный шаблон рекомендуется использовать для аутентификации с помощью файлов cookie в стеке .NET + Angular?