那些遇到过的问题

从javascript使用REST Oauth 2.0 API的安全方法

rgu*_*aug 5 javascript security api rest oauth-2.0

我即将开始开发一个业务应用程序,我希望前端是一个单页的JavaScript解决方案.后端作为REST API提供.如何以安全的方式从Javascript前端访问REST API?

我已经开始在我的REST API中开发Oauth 2.0,我已经知道了"隐式授权流程",这是javascript客户端的推荐流程.问题是这个流程应该只提供短期访问令牌(可能是1小时?).

我的系统的用户通常会在早上登录并在应用程序中全天工作(8小时)并在离开工作之前注销,但如果访问令牌仅存在一小时,他们将不得不每小时再次登录,这是不可接受的.你是如何解决这个问题的?

Sco*_* T. 5

我们(Ping身份)支持在我们的OAuth AS实现中滑动访问令牌的到期 - 没有任何OAuth 2.0规范明确表示您不能这样做.对于其他授权类型,您需要使用刷新令牌以延长生命周期 - 但隐式不适用于它们.

不确定您是否需要JavaScript OAuth工具包,但这里可能适合您的目的.

归档时间:

查看次数:

3750 次

最近记录:

13 年,11 月 前
相关归档
是否可以使用Postman Chrome扩展程序发送数组? 224
使用PUT或DELETE方法可以实现CSRF吗? 49
如何保护EmberJS或任何Javascript MVC框架? 10
如何使用刷新令牌刷新google_oauth2访问令牌? 8
反应路由器 BrowserRouter 与打字稿反应的问题? 5
如何使用 127.0.0.1 从 Windows 主机访问 WSL2 中运行的服务? 5
apj.等 4
ReST:用于在 201 Created 后轮询资源的 http 204 状态代码 3
TFS2013 的 REST API 调用 3
是否有一个假的 json api 可以在某处进行 POST 登录? 2
难疑归档
从Git中的分支中删除提交 3035
在JavaScript中创建多行字符串 2412
什么是MVP和MVC,有什么区别? 2081
家谱软件中的循环 1594
如何确定Python变量的类型? 1437
const int*,const int*const和int const*之间有什么区别? 1262
在现代Python中声明自定义异常的正确方法? 1176
如何使用SSH在远程计算机上运行shell脚本? 1164
如何在Ruby中将字符串转换为小写或大写 1081
如何将命令行参数传递给rake任务 1065