Я создаю приложение, использующее предоставление кода авторизации для авторизации пользователей по API Spotify.Приложение на стороне сервера перенаправляет пользователя на Spotify для аутентификации, получая обратно код авторизации, который затем обменивается на токен авторизации.
В настоящее время я храню этот токен в безопасном файле cookie HttpOnly.Когда пользователь обращается к моему приложению, токен пересылается и используется для обновления / доступа к защищенным ресурсам Spotify.
Насколько я понимаю, этого недостаточно для аутентификации пользователя по этим ресурсам.
Каковы лучшие практики в этом отношении?