ASP.NET Web API 2 - 如何为SPA应用程序实现OAuth2.0

时间:2018-04-04 08:46:54

标签: asp.net oauth-2.0 asp.net-web-api2 single-page-application

我正在尝试实现WEB API 2(针对单页面应用程序,而不是作为Visual Studio项目的一部分)OAuth2.0协议。根据{{​​3}},使用刷新令牌不是一种选择。但是,我不确定我是否了解隐式授权流程以及最终的静默身份验证。

Implicit Flow是否仅表示发出普通访问令牌?在这种情况下,我们如何让用户长时间保持登录状态?静默认证端点应该是什么样的,它应该接收什么并返回给客户端?使用刷新令牌确实是一个问题 - 大多数人都将他们的用户名/密码保存在浏览器中?

1 个答案:

答案 0 :(得分:0)

Implicit Flow是否仅表示发出普通访问令牌?是。

在这种情况下,我们如何让用户长时间保持登录状态?您可以使用“expires_in”参数设置超时。

请在此处参阅完整明细:https://oauth2.thephpleague.com/authorization-server/implicit-grant/

Silent Authentication端点应该是什么样的,它应该接收什么并返回给客户端?在登录期间对用户进行认证时,服务器发送&在会话/浏览器中设置身份验证密钥。因此,在每次页面调用期间,只有身份验证密钥才会发送到服务器。您将在网上找到许多实施例子。

使用刷新令牌确实是一个问题 - 大多数人的用户名/密码都保存在浏览器中?不,这不是问题。如果令牌过期,您可以在身份验证后轻松重新颁发令牌。密码&用户名未保存在浏览器中。仅存储身份验证密钥。