在使用本机（Windows）桌面客户端时，应将OAuth2访问/刷新令牌存储在哪里？

Question

3

在实现oauth2授权码授予流程时，对于存储访问和刷新令牌的最佳实践是什么？客户端是本地Windows桌面应用程序。

我的初步想法是使用Windows Data Protection API编码后将令牌存储在Windows注册表中，使用硬编码的秘密（DPAPI中的熵）。这很容易实现，但我不确定是否是一个好主意。

- RandomName

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Gary Archer · Accepted Answer

使用操作系统内置的安全存储，它会使用专属于您的应用程序和用户的存储。对于Windows，请使用Windows凭据管理器 - 请参见我的博客文章中的屏幕截图。

我的示例桌面应用程序是使用Node / Electron编写的，并使用Keytar组件与WCM进行交互。

Keytar主页提供了更多信息 - 如果使用不同的技术，您可以遵循相同的模式。