私は絶対にそれをしません。セキュリティが関係しているときは、他人がアクセスできる場所に物を保管しないでください。したがって、特にクライアント側では、どこにも保存しないでください。
とはいえ、適切に処理されれば、それ自体は悪い習慣ではありません。それについて this の包括的な記事を参照してください。
Access_tokenをCookieに保存できるかどうかは、次の事項によって異なります。
- Access_tokenは暗号化されたCookieに保存されていますか(暗号化されているはずです)
- Access_tokenはベアラートークンであるため、ブラウザーフローに関連付けられていません。一般に、Cookieはブラウザの状態を維持するためのものです。したがって、トークンのライフサイクルがCookieと同じである場合は、それ以外の場合は先に進みます。ライフサイクルとは、寿命などです。
- また、アクセストークンがIDトークンではないことも考慮してください。
- アクセストークンは完全にクライアント側であり、サーバーは通常Cookieを使用してセッションを維持し、ほとんどの場合、一致するサーバー側セッションも維持します。
これがお役に立てば幸いです。
CookieのmaxSizeは4kbです。したがって、トークンに多くの情報を保存している場合、エラーが発生します。