我目前正在开发一个连接到一堆webAPI的SPA应用程序.这些API要求用户登录,因此我开始深入研究Openid Conect和OAuth2示例,主要使用IdentityServer.
出于SPA原因,它们都需要使用隐式授权来检索access_tokens.处理令牌刷新使用隐藏的iframe连接到身份验证服务器.
我从这种方法中理解的是,更新access_token是在会话中维护身份验证服务.隐藏的iframe进入身份验证服务器,会话仍处于活动状态,提供了新的access_token.
所有这些对我来说都很好,除了(对于UX reasosn)我的用户需要被重定向到身份验证服务器页面以提供凭据.
是不是可以让我的SPA应用程序向身份验证服务器发送凭据,获取access_token,然后使用隐藏的iframe进行刷新以进行静默续订(我们显然不希望用户每隔15分钟或每小时继续通知凭据..).
如果出于安全原因这是不可接受的,您能解释一下原因吗?
authentication single-page-application openid-connect identityserver3 identityserver4