个人中心
文章发布
退出
作者热门文章
- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
26
4
我正在使用 Thinktecture AuthorizationServer (AS),它运行良好。
我想编写一个可以直接调用 WebAPI 的原生 javascript 单页应用程序,但是隐式流不提供刷新 token 。
如果进行 AJAX 调用,如果 token 已过期,API 将发送重定向到登录页面,因为数据使用动态弹出窗口,这将打断用户。
Facebook 或 Stackoverflow 如何做到这一点并仍然允许页面上运行的 javascript 调用 API?
建议的解决方案
下面的场景听起来合理吗(假设这可以用 iframe 完成):
我的 SPA 将我定向到 AS,我通过隐式流程获得了一个 token 。在 AS 中,我单击允许 Read data 范围,然后单击 Remember decision,然后单击 Allow 按钮。
因为我点击了Remember decision 按钮,每当我点击 AS 获取 token 时,一个新的 token 会自动传回而无需我登录(我可以看到 FedAuth cookie 正在记住我的决定并相信这将使它能够正常工作)。
对于我的 SPA(不受信任的应用程序),我没有刷新 token ,只有访问 token 。所以我改为:
我想如果 FedAuth cookie 被盗,我仍然会有麻烦。
上述场景有什么标准或推荐的方法吗?
最佳答案
我了解到您的问题是,当访问 token 过期时,用户将通过重定向到授权服务器的登录页面而遇到中断。但我认为您不能也不应该绕过这个问题,至少在使用隐式授权时是这样。
我相信您已经知道,implicit grant不能保密其凭据的消费者应该使用。因此,授权服务器颁发的访问 token 应具有有限的 ttl。例如,谷歌在 3600 sec 中使他们的访问 token 无效.当然你可以增加 ttl,但它永远不应该成为一个长期存在的 token 。
另外需要注意的是,在我看来,用户中断非常少,即如果实现正确,用户只需通过授权服务器进行一次身份验证。这样做之后(例如,第一次还授权应用程序访问用户控制的任何资源时)将建立 session (基于 cookie 或基于 token )并且当消费者的访问 token (使用隐式授权的网络应用程序)时expires,将通知用户 token 已过期,需要向授权服务器重新认证。但由于 session 已经建立,用户将立即被重定向回网络应用。
如果这不是您想要的,在我看来,您应该考虑使用授权代码授权,而不是使用 iframe 做复杂的事情。在这种情况下,您需要一个服务器端 Web 应用程序,因为这样您就可以保密您的凭据并使用刷新 token 。
关于javascript - 具有单页应用刷新访问 token 的 Oauth2 隐式流程,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23517987/
26
4
0
我们知道,当使用 hibernate 对数据库进行批量更新时(即使在 HQL 中),所做的更改不会复制到存储在当前 session 中的实体。 所以我可以调用 session.refresh 来加载对
我正在做一个项目,所有的东西都保存在事件中,所以服务器需要一些时间来响应新数据。我正在使用 Fluent 等待使用 ajax 的页面,但是这个不使用任何 ajax。所以我想刷新页面检查是否有新项目,如
我有一个从 Vector 创建的 JTable。 如何刷新 JTable 以显示添加到 Vector 的新数据? 最佳答案 当 TableModel 发生更改时,您的 JTable 应该会自动更新。我
有没有办法使用下面的代码来刷新已经存在的 div id,而不是刷新时间? window.onload = startInterval; function startInterval() {
我更新了在 Shiny Server 上运行的 Shiny 应用程序使用的 DataSet.RData。但是, Shiny 的应用程序仍在旧数据上运行。我已通过浏览器历史记录清除并重新启动浏览器几次,
我的应用程序中有一个无限滚动的网格面板(ExtJs 4.2.1),类似于 this example .用户可以单击刷新按钮,然后必须使用数据库中的数据更新网格的行。我在刷新按钮处理程序中调用 stor
我不知道这三种方法中哪一种最适合我。他们都为我工作。有谁知道刷新、更新和重画之间的区别吗? 最佳答案 根据在线文档: Refresh - 重新绘制屏幕上的控件。 Call Refresh method
有什么办法吗 ICollectionView.Refresh() 或者 CollectionViewSource.GetDefaultView(args.NewValue).Refresh(); 在
这个问题已经有答案了: Updating address bar with new URL without hash or reloading the page [duplicate] (4 个回答)
我有一个 javascript 设置超时以在 10 秒后关闭 div,并且我想在 div 关闭时添加页面刷新。我正在使用的代码如下。 var container_close_sec = "1
我有一组具有以下名称的页面.... update1.php update2.php update3.php update4.php update5.php update6.php update7.ph
如果是则触发js函数。我可以使一个复选框保持选中状态,并在页面刷新时检查值并选中“checked”,并提交以下内容... checked="checked" /> 你都不记得触发js函数。 这是我的
我正在尝试刷新 php 脚本以在数据库更新时显示更新的内容。我首先构建了我的 php,然后刷新代码,然后合并它们。但是,脚本不会更新。有谁知道为什么吗? $(document).ready
当我要删除的节点扩展集合类型时,Grails中有一个错误阻止我使用removeFrom *。直接从关联中删除节点不会更新二级缓存。 A hasMany B 有什么方法可以使关联缓存手动无效或强制重新加
我正在使用 hibernate 和 mysql 来抽象一个数据库,以便在 java 驱动的网站中使用。我使用 hibernate 很好地解决了所有查询,但似乎无法弄清楚如何使用它进行更新、插入和删除,
如何通过调用 oncreateview 方法重新创建 fragment ?我有一个 fragment ,用于通过表单插入新数据,单击按钮后,我想通过删除在 EditText 中输入的数据来重新创建 f
当我从一个到另一个时,我试图刷新我的观点。我知道我应该将刷新代码放在 viewWillAppear 中,但我不知道该放什么代码。 你们能帮帮我吗? 谢谢! 最佳答案 在您看来,请调用 setNeeds
我正在开发 iPhone 应用程序并希望使用: CFStreamCreatePairWithSocketToHost(NULL, url, port, &serverReadStream, &serv
看到我已经创建了一个用于登录用户的脚本。而且我还添加了设置选项卡,以便用户可以编辑他们的设置!但是当我尝试它时,mysql 表中的数据发生了变化,但配置文件中显示的用户名和用户电子邮件保持不变!当我注
好的。这就是它的样子。 当我启动应用程序时,我从服务器收到的第一件事是数据: {name: "test", type: "checkbox" checked: true, } 这使得其中一个复选框
我是一名优秀的程序员,十分优秀!