5

フロントエンドを単一ページの JavaScript ソリューションにするビジネス アプリケーションの開発を開始しようとしています。バックエンドは REST API として提供されます。Javascript フロントエンドから REST API に安全にアクセスするにはどうすればよいですか?

私はすでに REST API で Oauth 2.0 の開発を開始しており、JavaScript クライアントに推奨されるフローである "Implicit Grant Flow" については既に知っています。問題は、このフローが短命のアクセス トークンのみを提供する必要があることです (おそらく 1 時間?)。

私のシステムのユーザーは通常、朝にログインし、終日 (8 時間) アプリケーションで作業し、仕事を辞める前にログアウトしますが、アクセス トークンが 1 時間しか有効でない場合、1 時間ごとに再度ログインする必要があり、これは受け入れられません。 . これをどのように解決しますか?

4

1 に答える 1

5

私たち (Ping Identity) は、OAuth AS 実装でアクセス トークンのスライド有効期限をサポートしています。それができないという OAuth 2.0 の仕様に関する賢明な説明はありません。他の許可タイプの場合、より長い有効期間のために更新トークンが関与しますが、暗黙的はそれらでは機能しません。

JavaScript OAuth ツールキットが必要かどうかはわかりませんが、目的に適していると思われるツールキットを次に示します。

于 2012-04-04T18:20:47.803 に答える