将offline_access光贴到公共应用上

Question

您对公共应用程序的offline_access光栅有什么看法？ 我已经仔细研究了标准，并没有找到明确的指示，即使用公共应用程序使offline_access成为一个很大的安全问题。

我认为这是一个公共应用程序无法安全地保存密码，更不用说刷新令牌了。与此同时，我看到许多使用refresh_token流的浏览器应用程序的示例，因此可能是阻止用户重定向到身份提供者的常见策略。

我的目标是找到一种使用AJAX获取另一个access_token的正确方法，以便用户不会刷新页面或将其重定向到身份提供者。

谢谢， 乔治

Answer 1

根据RFC6749，刷新令牌的发布是not permitted with the implicit grant type，授权服务器可以自行决定其他格式类型。

通过提及授权服务器MUST ignore the offline_access request unless the Client is using a response_type value that would result in an Authorization Code being returned，OpenID Connect specification更具限制性。

无论如何，这些规范允许为refresh tokens can receive an acceptable level of protection发布公共客户端的刷新令牌。

确定了

Possible threats，反措施可以是（非详尽清单）：

• 安全刷新令牌存储（加密文件夹/磁盘）。
• 锁定以防止未经授权的设备/应用程序访问
• 撤销访问令牌/刷新令牌的可能性
• resfresh令牌的旋转
• 将刷新令牌请求与设备标识相结合