我正在将单片应用程序转移到微服务架构,所有新API都将通过 OpenID Connect 和 OAuth2隐式流程进行身份验证/授权。
OAuth2隐式规范定义了此类流没有刷新令牌。那么,有没有办法在网络会话还活着时更新API令牌?
某些市场提供商在令牌生成期间提供API而没有时间到期,但在我看来这是一种不好的做法。当OAuth令牌过期时,即使是“单页应用程序”也应该知道,强制用户在登录弹出窗口中再次输入凭据。
我的问题是如何在网络会话超时和API令牌到期之间保持同步?在用户会话处于活动状态时,令牌永远不会过期。