我有一个声明AllowEmailNotifications,它允许用户在其配置文件客户端打开和关闭通知。我最初在他们的用户配置文件对象中有这个值,它存储在sessionStorage客户端,在数据库中更新以及sessionStorage在切换此值时更新。OpenId访问令牌更新值客户端
将此值移动到访问令牌并更新也存储在会话存储中的访问令牌客户端还是被认为会篡改令牌是否安全?我需要它的服务器端,或者我应该只是打电话给数据库来获得这个值的Web服务?
我不确定通过应用程序而不是授权提供程序更新访问令牌中的值的最佳实践是什么?
您应该无法“更新”访问令牌客户端,只能使用刷新令牌通过刷新将其替换为新的访问令牌。 – john