如何使用单页应用程序和 openid 连接隐式流撤销访问令牌?

【问题标题】:How to revoke access token with Single Page Application and openid connect implicit flow?如何使用单页应用程序和 openid 连接隐式流撤销访问令牌?
【发布时间】:2019-10-23 00:32:19
【问题描述】:

最近我用 openid connect 编写了一个身份提供程序。我已经公开了令牌和 oauth 流的端点。

我知道在 SPA 的情况下,我们无法提供刷新令牌来撤销任何一个令牌。所以我所做的是当我的访问令牌过期时,我总是调用 IDP 服务器并刷新我的令牌,但我面临的问题是身份验证没有静默放置在后台,因为有时会出现一个闪屏并且我的回调 url 调用我再次保存令牌的地方。

那么有什么方法可以在用户不知情的情况下撤销访问令牌。

一种方法是在我的令牌过期后调用身份提供者并在后台刷新我的令牌,但如果同时用户尝试使用旧的调用 api,他会收到 401。

【问题讨论】:

    标签: openid-connect implicit-flow


    【解决方案1】:

    对于 SPA,最主流的解决方案是使用 oidc-client 库为您进行令牌更新 - 我想这就是您要问的?

    最简单的撤销解决方案是使用短期令牌 - 60 分钟很常见

    这取决于您的授权服务器,但一个好的起点是了解 prompt=none 参数 - 我的 SPA 文章可能会有所帮助: https://authguidance.com/2017/10/24/user-sessions-and-token-renewal/

    一些

    【讨论】:

      猜你喜欢
      • 2015-05-11
      • 2014-10-26
      • 2019-04-12
      • 2019-09-23
      • 1970-01-01
      • 2020-09-29
      • 2014-06-24
      • 2015-12-08
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode