我目前只能访问网站的一部分(表单),并且应该使用OAuth2。我可以获取访问令牌,并且可以将数据发布到客户端的api,他们希望我使用刷新令牌,因为访问令牌已过期。由于我只能访问客户端,因此在ajax调用中应在何处添加刷新令牌?除了这样做很危险,我似乎找不到其他东西。
"headers": {
"Content-Type": "application/json",
"Accept": "application/json",
"Authorization": "Bearer RANDOMSTRING"
}
答案 0 :(得分:0)
首先是的,将Refresh令牌存储在客户端上不是一个好习惯,因为通常到期时间非常长。如果必须将此令牌存储在客户端上,则必须采取预防措施。
API不应允许使用刷新令牌来请求资源,该令牌只能用于获取新的访问令牌。
有几种方法可以根据API传递刷新令牌,但最常见的方法是将grant_type放入refresh_token。
在OAuth中,基本流程如下:
希望这会有所帮助
有关刷新令牌的更多信息:https://auth0.com/learn/refresh-tokens/