Skip to content

où stocker les jetons (tokens) ?

Après la lecture de ces pages, j'ai eu envie de stocker les tokens sur le serveur, et de ne pas les laisser dans le localStorage du client, car le LocalStorage du navigateur est "ouvert".

https://wiki.openstreetmap.org/wiki/OAuth_Server_side_Node.js_examples

Cette page indique que les jetons d'accès n'expirent pas : https://wiki.openstreetmap.org/wiki/OAuth

Jean-Marie me disait que on peut aussi avoir envie de garder le moins d'infos possibles sur le serveur, et d'y faire transiter le moins possible, pour des questions de traffic mais aussi par soucis d'être plus transparent.

Avec l'idée que même si le code est ouvert, si on voit les requêtes vont vers le serveur d'autorité (osm) plutôt que vers un autre outil, on est plus en confiance (en tant qu'utilisateur qui regarde quelles requêtes fait le navigateur).

Est-ce qu'on peut résumer en disant que - soit on fait confiance au serveur - soit on fait confiance à toutes les pages ouvertes sur notre navigateur ?

J'ai trouvé cette discussion, qui pose des questions autour de tout ça https://github.com/openstreetmap/openstreetmap-website/pull/2145 qui pointe ici : https://dev.overpass-api.de/misc/authentication.pdf

Bon, je vais essayer de regarder comment ça se passe ailleurs.

En fait, j'arrive à garder les tokens sur le serveur, mais l'application sera plus découpée, et j'ai l'impression que ce n'est pas le plus courant... ce qui fait que les outils sont moins faciles à adapter, ou moins courants..

sur finde.cash

https://finde.cash/

je peux lire :

  • oauth_consumer_key
  • oauth_token
  • oauth_token

dans localStorage :

  • request_token_secret
  • token
  • token_secret

le fait de laisser lisible le consumer_key ..? à qui on s'adresse ? les gens vont ils aller voir où va le truc ?