2

当我在我的 OAuth 服务器上授权时,它会返回我访问/刷新令牌:

access_token: "ZjJlMGM2MDcxNDg5MDQ1NzA4ZjkyNzRiOTIwM2E5MWI4N2M0MWU0ZD..."
expires_in: 3600
refresh_token: "NWZjMzQ3YjNjMmY5YTEzYzMxMDYzNGVhNzRiNjAxZTdmZTdjNzE3z..."
scope: null
token_type: "bearer"

如何在我的客户端 javascript 应用程序中使用它们?

  1. 可以在 cookie 中保存访问令牌和刷新令牌吗?(它安全吗? - 但无论如何我看不到任何其他可以存放它们的地方......)
  2. 我可以像这样请求受保护的资源: /api/user?access_token=TOKEN 。当我访问它们时,我真的成功地获得了受保护的数据。但是当这个访问令牌过期时会发生什么?会自动刷新,还是需要我手动处理?
  3. 为什么我需要刷新令牌以及何时将其发送到服务器?
4

1 回答 1

1

三足(用户---客户端---- Oauthserver)

1)在3legged authentication access Token中存储在客户端,永远不会转移给用户。

两条腿(用户----Oauthserver)

在 2 腿身份验证中,令牌存储在用户端。可能在饼干里。

2)当令牌过期时,用户必须明确地使用刷新令牌来获取新的身份验证令牌。

3) 每个 Auth 令牌都有一个有效期,用户可以出示刷新令牌来获取新的有效 Auth 令牌,而不是使用用户名/密码重新验证自己。

于 2014-02-04T00:49:01.430 回答