Witam
Tworzę serwis, który będzie pośrednikiem innych serwisów. Zasada mojego serwisu jest bardzo prosta jednak mam może nie problem tylko pytanie dotyczące przechowywania tokenu JWT z innych serwisów, które będzie mógł użytkownik podłączyć u siebie w profilu.
- Użytkownik tworzy konto w moim serwisie
- W profilu może podłączyć jakieś inne serwisy np Mantis. Jakiś serwis który zwraca nam JWT do autoryzacji i wystawia API
Pytanie jest tego typu czy poprawnym działaniem będzie przechowywanie tych tokenów JWT w bazie w rekordzie z podłączonym kontem czy jednak gromadzić je tylko i wyłącznie w pamięci przeglądarki ?
Rozwiązanie gromadzenia tokenów po stronie bazy danych i dopisywanie ich do rekordów z dodanym serwisie pozwoliło by na 100% automatyzację oraz pozwoliło by użytkownikowi korzystać z tego samego tokena aż do czasu jego wygaśnięcia zaś gromadzenie tokena po stronie przeglądarki zmuszało by za każdą zmianą przeglądarki odświeżanie tych kont poprzez użytkownika w celu wygenerowania JWT i zapisania ich w pamięci przeglądarki. Jakie jest wasze zdanie na ten temat. Dodam że serwisów może być kilka dopisanych do konta użytkownika.
EDIT: Oczywiście moja strona również będzie generowała token i ten token będzie normalnie zapisany w przeglądarce tutaj rozchodzi się o tokeny dopisanych serwisów. Dzięki pierwszemu podejściu użytkownik nie musiał by wysyłać z każdym requestem tokenu tylko aplikacja pobierała by token danego serwisu i generowała z nim requesta do API
EDIT2 : https://api.slack.com/docs/oauth-safety punkt 7/6. Application layer and Presentation layer jest tam wzmianka na ten temat.