我们有很多客户使用我们的API来支持他们的网站。
我在工作中开始了一次关于使用OAuth进行认证API调用的讨论。我们将同时有两个和三个步骤的流程。
对于三个步骤的流程,我们仍然没有就如何存储访问令牌和密钥达成共识。
解决这个问题的常见方法是让客户在自己的数据库中存储访问令牌和密钥,但由于客户不想处理代码更改和实现问题,所以这个方法不可行。
我们正在考虑的其他选项:
1)将访问令牌和密钥保存在cookie中
2)将它们保存在会话中。
我不确定这两个选项是否都是好主意。有人有什么建议吗?
谢谢。