我即将开始开发一个业务应用程序,我希望前端成为单页面的javascript解决方案。后端作为REST API提供。如何以安全的方式从Javascript前端访问REST API?
我已经开始在我的REST API中开发Oauth 2.0了,我已经知道了“隐式授权流程”,这是javascript客户端的推荐流程。问题是这个流程应该只提供短期访问令牌(可能是1小时?)。
我系统的用户通常会在早上登录并在应用程序中全天工作(8小时)并在离开工作之前注销,但如果访问令牌仅存在一小时,则他们必须每小时再次登录是不可接受的。你是怎么解决的?
答案 0 :(得分:5)
我们(Ping身份)支持在我们的OAuth AS实施中滑动访问令牌的到期 - 没有任何OAuth 2.0规范明确表示您不能这样做。对于其他授权类型,您需要使用刷新令牌以延长生命周期 - 但隐式不适用于它们。
不确定您是否需要JavaScript OAuth工具包,但here's one可能适合您的目的。