OAuth2.0接口常见技术问题：令牌如何安全存储与传输？

OAuth 2.0中令牌（Token）的安全存储与传输实践

1. 什么是OAuth 2.0中的令牌？

在OAuth 2.0协议中，令牌分为访问令牌（Access Token）和刷新令牌（Refresh Token）。访问令牌用于调用受保护资源，而刷新令牌则用于在访问令牌过期后获取新的令牌。由于它们具有高度敏感性，必须采取安全措施进行存储与传输。

2. 客户端如何安全地存储令牌？

常见的客户端存储方式包括 LocalStorage、SessionStorage 和 Cookie。每种方式各有优劣：

• LocalStorage：持久化存储，适合长期保存数据，但易受XSS攻击影响。
• SessionStorage：仅限当前会话有效，关闭页面后自动清除，安全性略高。
• Cookie：可设置 HttpOnly 和 Secure 标志，防止JavaScript访问和明文传输，是较为推荐的存储方式。

3. 是否需要对令牌加密？

通常情况下，JWT格式的令牌本身是签名而非加密的。这意味着其内容可以被解码查看，但无法篡改。如果令牌中包含敏感信息，则建议在传输前对其进行加密处理，例如使用 JWE（JSON Web Encryption）标准。

// 示例：使用JWT签名生成访问令牌
const token = jwt.sign({ userId: '123' }, secretKey, { expiresIn: '15m' });

4. 如何在HTTP传输过程中保护令牌？

为防止令牌在传输过程中被窃听或劫持，应采取以下措施：

1. 始终使用 HTTPS 协议进行通信；
2. 将令牌放在 HTTP 请求头的 Authorization 字段中，使用 Bearer 模式；
3. 避免将令牌作为 URL 参数传递；
4. 在 Cookie 中设置 Secure 和 HttpOnly 属性；
5. 启用 SameSite 属性防止 CSRF 攻击。

5. 刷新令牌的安全管理策略

刷新令牌一旦泄露，攻击者可以在访问令牌失效后继续获取新令牌。因此，刷新令牌的管理尤为重要：

• 刷新令牌应具备短生命周期，或一次性使用后立即失效；
• 应在服务端维护刷新令牌黑名单（Revoke机制）；
• 刷新令牌应绑定用户设备指纹、IP等信息增强安全性；
• 刷新令牌请求应验证来源，并记录日志以便审计。