5

我即将开始开发一个业务应用程序,我希望前端是一个单页 javascript 解决方案。后端作为 REST API 提供。如何以安全的方式从 Javascript 前端访问 REST API?

我已经开始在我的 REST API 中开发 Oauth 2.0,并且我已经知道“隐式授权流程”,这是 javascript 客户端的推荐流程。问题是这个流程应该只提供短暂的访问令牌(可能是 1 小时?)。

我系统的用户通常会在早上登录并在应用程序中工作一整天(8 小时)并在离职前注销,但如果访问令牌仅存在一个小时,他们将不得不每小时再次登录,这是不可接受的. 你如何解决这个问题?

4

1 回答 1

5

我们(Ping Identity)在我们的 OAuth AS 实现中支持访问令牌的滑动到期 - 没有任何 OAuth 2.0 规范表明您不能这样做。对于其他授权类型,您将需要一个刷新令牌以延长生命周期 - 但隐式不适用于它们。

不确定您是否需要 JavaScript OAuth 工具包,但这里有一个可能适合您的目的。

于 2012-04-04T18:20:47.803 回答