我在与客户端相同的应用程序中有一个WebApi,并且用户已经过身份验证,因为cookie已存在但javascript已丢失其访问令牌。
如果用户已经过身份验证,我是否可以从oauth服务器请求新的访问令牌?
现在(使用SPA模板中的部分),用户可以通过javascript定向到登录页面,因为它没有访问令牌。我只是想知道而不是要求用户导航到社交登录页面以获取externalBearer令牌以交换访问令牌,如果我可以从oauth服务器获取令牌,并且用户已经登录(应用程序cookie存在)和cookie中间件处于活动模式)。
答案 0 :(得分:1)
OAuth2支持自定义授权类型,允许显示其他一些凭据类型。也许您可以将此可扩展性点转换为将此Cookie用于此备用凭据。但是,你想提防并防止XSRF(这就是为什么我们想首先避免使用cookie的原因)。查看提供程序上的GrantCustomExtension API。