那些遇到过的问题

如何为从移动和javascript Web应用程序访问的rest API实现OAuth 2.0,如基于令牌的身份验证

Sat*_*ddu 6 javascript authentication rest android oauth-2.0

我需要为我的REST API实现身份验证和授权机制.这是从移动应用程序和Web应用程序访问的rest api.

机制我想实现:
所以根据我的理解,我使用的是基于密码的身份验证.移动应用程序或javascript Web应用程序通过HTTPS post请求发送用户名和密码,以获取有限时间的访问令牌.

问题

  1. 因为访问令牌每1小时左右到期.再次请求最终用户输入用户名和密码.这是不可接受的.
  2. 如果我们将令牌的时间延长一段时间,那么如果有人处理令牌,他们可以访问Rest API更长时间.由于Web应用程序是javascript应用程序,因此可以在计划文本中轻松使用.

所以我试图理解像facebook和twitter这样的应用程序如何为其原生移动应用程序实现授权.他们是否通过存储在本地存储中永远记住访问令牌.这样如果一些恶意应用程序拥有root权限,那么android手机就可以访问令牌.

对于在javascript和android应用程序中开发的独立Web应用程序,它对上述机制有什么改进?

Chr*_*e L 1

访问令牌确实是短暂的。为了长期保持授权,OAuth2 有一种称为“刷新令牌”的东西。

如果提供商支持(Google 和 Facebook 都支持),OAuth2 使用者可以在初始流程中请求除了访问令牌之外的刷新令牌(我相信 Google 称之为“离线访问”)。访问令牌正常使用,但当它过期时,消费者可以使用其凭据和刷新令牌请求新的访问令牌。

有关详细信息,请参阅 Google 文档:https ://developers.google.com/accounts/docs/OAuth2WebServer#offline 。

归档时间:

查看次数:

1523 次

最近记录:

11 年,5 月 前
相关归档
Javascript计算一年中的某一天(1 - 366) 107
如何使用对象ID数组创建Mongoose模式? 63
从Thread更新UI 53
Twitter Bootstrap:打印模态窗口的内容 47
gradle - 库在依赖项中重复 47
Android - 没有调试日志的adb logcat 42
REST版本控制 - URL与标头 14
如何将cpp Rest sdk(cassablanca)添加到Mac上VSCode中的项目中 5
CodeIgniter中的身份验证 2
axios.post 导致错误请求 - grant_type:'client_credentials' 2
难疑归档
Python有三元条件运算符吗? 5591
如何在Windows上安装pip? 2469
如何格式化Microsoft JSON日期? 1954
.gitignore和.gitkeep有什么区别? 1776
当键盘出现时 - 如何开始编辑时,如何让UITextField向上移动? 1674
INNER JOIN,LEFT JOIN,RIGHT JOIN和FULL JOIN之间有什么区别? 1602
C#中两个问号共同意味着什么? 1540
如何离开/退出/停用python virtualenv? 1461
为什么不从List <T>继承? 1299
如何在JavaScript中创建二维数组? 1081