目前我有一个带有按钮的javascript客户端对服务进行ajax调用,我想使用OAuth添加基于令牌的安全性。我也在尝试实现Oauth2授权服务器。我正在使用DotNetOpenAuth,我一直在检查样本。
问题是我没有看到如何在不刷新页面的情况下从javascript客户端调用令牌,因为总是有重定向。我尝试了这两个选项,但他们没有说服我:
从javascript(window.open)打开一个新窗口,并在弹出窗口的window.location中捕获该标记。这可以避免回发,但它有点笨拙。
在授权服务器中实现服务,该服务器通过JSON返回令牌。我认为这可行,但它不会遵循Oauth2规范,因为没有重定向。
是否有更好的选择要求令牌避免刷新整个页面?
任何评论都会表示赞赏。 谢谢。 大卫