Web会话超时VS OAuth2隐式令牌过期

时间:2017-06-05 18:31:30

标签: rest api oauth-2.0 single-page-application openid-connect

我正在将单片应用程序转移到微服务架构,所有新API都将通过 OpenID Connect OAuth2隐式流程进行身份验证/授权。

OAuth2隐式规范定义了此类流没有刷新令牌。那么,有没有办法在网络会话还活着时更新API令牌?

某些市场提供商在令牌生成期间提供API而没有时间到期,但在我看来这是一种不好的做法。当OAuth令牌过期时,即使是“单页应用程序”也应该知道,强制用户在登录弹出窗口中再次输入凭据。

我的问题是如何在网络会话超时和API令牌到期之间保持同步?在用户会话处于活动状态时,令牌永远不会过期。

0 个答案:

没有答案