我正在为Jira构建一个前端客户端,并且我正在考虑一些冲突的身份验证方法。
我已经设置了OAuth2身份验证方法,用于登录和点击Jira API。我在登录页面上有一个按钮,重定向到Jira,您登录,点击“允许”并重定向到我的应用程序。这一步很好,我有一个令牌和一个秘密,可以使api调用很好。
接下来,我进行api调用以获取用户数据,该数据返回正常。其中一个数据是一组头像网址。我将其中一个网址放入我网站的标记中。这是问题的开始。
如果我以前登录的浏览器会话仍然有效,我会收到一个头像。但如果没有,我会从Jira获得一个“匿名”的化身。
我的OAuth令牌/ api调用似乎都恢复正常。
这是有道理的,因为Jira使用基于cookie的身份验证而我不是。因此,如果该cookie在我的浏览器中死亡,则对图像的调用将失败。
我的最终问题是如何处理这个问题?我有责任在令牌上过期吗?如果他们选择“保持登录状态”会发生什么?我不认为我在OAuth方面获得了那些知识。
我觉得我错过了什么,但我无法弄清楚是什么。这似乎是一个已修复或甚至不是真正问题的问题。
一种解决方案就是切换到基于cookie的身份验证,但OAuth似乎更安全。
我也试过从我的服务器直接点击它,但这也产生了一个匿名头像。与使用访问令牌的卷曲一样。也许我没有以正确的方式提供它?
对此的任何想法或想法将不胜感激。提前谢谢。