cookie 保存 seesionid 还是保存 oauth2 的 token,该用那种比较好呢?
还有第三方登录的状态该怎么怎么保存呢?现在第三方登录都是通过 token 来授权和续签保持登录状态的。
保存 token
#1 楼 @huacnlee 我能不能,在自己搭建一个 oauth2 的认证服务器,然后把第三方登录的用户嫁接到自己的 认证服务器,这样登录状态可以自己控制。仅仅是从第三方获取用户信息。
流程是这样的:
当用户选择第三方登录第一次登录成功后,保存一个 openid 和第三方类型到数据库,然后保存用户信息。以后每次都是登录成功后获取。
然后由自己的认证服务器生成一个 token 给客户端。当客户端的 token 和 refresh_token 都超时之后,在让用户选择第三方登录。
不知道这样设计是否合理,或者有必要吗?