实施与OAuth 2.0服务器通信的网站。用户登录,获取持有者令牌,一切都很好,直到他刷新页面并且持有者令牌丢失。
为防止我的用户再次登录,我正在考虑使用刷新令牌并从服务器请求新的承载令牌。这意味着我必须在本地缓存刷新令牌。
这令人不满吗?人们如何在页面刷新时存储持票人令牌?
答案 0 :(得分:1)
存储Bearer令牌的常用方法是在会话cookie中,这样除非用户关闭浏览器,否则令牌不会丢失。这是通常的方法,但您可以将其存储在任何您想要的位置,例如在HTML5存储中。在它到期之前它会很有用。但是,在请求中包含令牌(通常在Authorization标头中)非常重要,因此您必须从存储的任何位置恢复它。
刷新令牌不是用于请求新令牌,而是在它到期之前续订。例如,如果令牌配置为在一小时后过期,则可以使用刷新令牌在该小时内续订。如果您的令牌过期,则无法再使用刷新令牌。
答案 1 :(得分:0)
Refresh Token假设在访问令牌到期时使用。
当用户刷新浏览器时,会话显示为#34;死了",因此身份验证丢失。你在不同的浏览器上检查过吗?你能检查一下"会话"刷新后有没有? (在chrome中很容易检查)。你在使用Spring吗?从技术上讲,我认为您必须配置您的应用程序以使用会话...