これまで OAuth 2.0 仕様で読んだことから、Javascript 経由でアクセスできるブラウザに機密情報を保存することはお勧めできません。
ここでの議論もこの点に同意しているようです: Using OAuth2 in HTML5 Web App
現在、REST スタイルの API バックエンドのフロントエンドとして Ember ベースのアプリを構築しており、ユーザー ログインを処理するためのライブラリとして Ember-Simple-Auth を使用しています。これは、リソース オーナー パスワード資格情報ワークフローを実装し、明示的にサポートしていますトークンをリフレッシュします。
OAuth 2.0 の「リソース所有者パスワード資格情報」権限付与タイプでは、更新トークンの使用が許可されていることを読みましたが、この段落のテキストは、クライアントの非常に一般的な定義に対処するように書かれています。
Ember.js は、ブラウザーで実行される単一ページの Web アプリケーションを作成するためのフレームワークであるため、私は今疑問に思っています...
Ember アプリでリフレッシュ トークンを使用しても安全ですか? 上記の議論は同意しないようです。これは私を次のように導きます:
Ember-Simple-Auth が更新トークンをサポートするのはなぜですか?
ご検討いただきありがとうございます。一番!マーカス