javascript – OAuth2刷新令牌.如何在客户端存储它

有授权OAuth2服务器来获取访问刷新令牌.

据我所知,访问令牌可以存储在客户端,因为它有短暂的循环.但是可以刷新令牌吗?根据我读过的信息,没有安全的方法来做到这一点

所以,我必须实现单独的服务器端服务,只是为了存储刷新令牌.

我对吗?它只是存储刷新令牌的一种可能方式吗?

附:客户端:angularJS

最佳答案 是的,你是对的.如果您无法通过授权服务器进行身份验证(即传递客户端ID和密钥),那么您将只获得一个短期访问令牌.

由于Angular代码在客户端上,因此保密客户端是不安全的.因此,您无法将客户端密钥传递给Auth服务器,因此无法进行身份验证.

此外,您的服务器代码不仅会存储令牌,还需要托管一个接受授权代码的端点,然后使用该代码(以及您的客户端凭据)调用Auth服务器以获取令牌和刷新令牌.

在成功的用户登录和用户授予对您的应用程序的访问权限之后,auth代码将通过来自auth服务器的调用通过http重定向提供给您的服务器端点.

点赞