私は現在、 Web APIを呼び出すAngular 2 SPAを持っています。Identity Server 3で実装された Security Token Serviceと oidc-client-js JavaScript ライブラリを使用して、Web API を使用するための認証と承認を提供しています。
プロトコルは、暗黙的なフローを使用したOpenId Connectです。
この記事に基づいて、サイレント トークン リフレッシュを実装しました。これは、API を呼び出すときに常に現在の Access_Token を保持するためです。
非アクティブな期間の後にユーザーをログアウトするために、JavaScript タイマーを使用して、Oidc_Client_Js ライブラリからUserManager.signoutRedirectメソッドを呼び出しています。
これは機能しますが、ユーザーのセッションがクライアント上の Javascript によって制御されているため、これが操作される可能性があることを懸念しています。
私の質問は、OpenId Connect で保護されたシングル ページ アプリに「ローリング」自動サインアウトを適用するための推奨される手法はありますか?