我想使用Auth0创建基于令牌的身份验证的单页面应用程序。
我的身份验证用例是:
1。)插入用户名和密码
2。)从Auth0服务器获取令牌,到期时间可能为6小时
3.。)在javascript方面,我检查当前令牌的到期时间
4.如果令牌将在到期之前,我通过Auth0.js库调用函数renewIdToken。它是到Auth0服务器的委托端点的HTTP POST。
auth0.renewIdToken(current_id_token, function (err, delegationResult) {
// Get here the new delegationResult.id_token
});
https://auth0.com/docs/libraries/auth0js
5.如果令牌过期,我会重定向到登录页面。
安全可以从任何地方通过HTTP POST续订令牌吗? 如果用户丢失了令牌并且攻击者可以永久使用此令牌,因为很容易更新它并且令牌无法撤销,会发生什么。
此方案没有刷新令牌,我只使用令牌。 我读了一些不推荐使用SPA场景中的刷新令牌的主题。