Где хранить токен чужого сервиса?

Question

[Дядька Серёжа]

Привет, нужно в мобильном приложении и браузере осуществить отображение данных внешнего сервиса через представление доступа по Oauth2.0
Как правильнее и безопаснее хранить авторизованный токен:
1) на устройстве пользователя, то есть мы храним его токен у себя в сервисе и потом ходим в чужой сервис от имени пользователя
2) храним на устройстве и ходим мобильным приложением или браузером (в браузере храним в виде куки)

Способ 2 снимает с нас требование защиты канала между нашим сервисом и внешним сервисом ГОСТом (т.к. есть малость ПДн) и снимаем нагрузку с серверов т.к. трафик в сети у нас не появляется, а на мобиле даже госструктуры не реализовывают честный ГОСТ TLS и поэтому можем забить.

Answer 1

[Артем Воронов]

На практике 2-ой способ всегда предпочтительней, только токен хранить надо в каком-нибудь крипто-хранилище.

Comments

[Дядька Серёжа]

Предпочтительнее тем что токен доступа не скомпрометировать просто так?

[Артем Воронов]

Потому что отвественность за компрометацию токена лежит на пользователе, а не на сервисе.
При компроментации токена, хранящего на сервере, отвественность за утечку персональных данных ложится на владельца сервиса со всеми вытекающими.

[Дядька Серёжа]

Артем Воронов, ах да, я перепутал у себя в голове пункт 1 и 2)
Спасибо.