我目前有一个调用Web API的angular 2 SPA。我正在使用使用Identity Server 3和 oidc-client-js javascript 库实现的安全令牌服务来提供身份验证和授权以使用 Web API。
该协议是使用隐式流的OpenId Connect。
我已经基于这篇文章实现了静默令牌刷新。这是为了在调用 API 时始终拥有当前的 Access_Token。
为了在一段时间不活动后注销用户,我使用 javascript 计时器从 Oidc_Client_Js 库中调用UserManager.signoutRedirect方法。
这可行,但是我担心这可能会被操纵,因为用户的会话由客户端上的 Javascript 控制。
我的问题是,是否有任何推荐的技术在受 OpenId Connect 保护的单页应用程序上应用“滚动”自动注销?