gpt4 book ai didi

angular - 使用 angular-oauth2-oidc 和 "silent refresh"没有白名单 silent-refresh.html

转载 作者:太空狗 更新时间:2023-10-29 17:58:33 25 4
gpt4 key购买 nike

我正在尝试使用 the angular-oauth2-oidc Silent Refresh实现与在 IdentityServer4 服务器中配置的隐式流相结合。我有一个在 ng new ng-and-ids4 --minimal 应用程序中使用此组件的概念验证:

import { Component } from '@angular/core';
import { AuthConfig, OAuthService, JwksValidationHandler, OAuthErrorEvent } from 'angular-oauth2-oidc';

@Component({
selector: 'app-root',
template: `<h1>Welcome!</h1>
<p>
<button (click)='login()'>login</button>
<button (click)='logout()'>logout</button>
<button (click)='refresh()'>refresh</button>
</p>
<h2>Your Claims:</h2><pre>{{claims | json}}</pre>
<h2>Your access token:</h2><p><code>{{accessToken}}</code></p>`,
styles: []
})
export class AppComponent {
constructor(public oauthService: OAuthService) {
this.oauthService.configure({
issuer: 'http://localhost:5000',
redirectUri: window.location.origin + '/',
silentRefreshRedirectUri: window.location.origin + '/silent-refresh.html',
clientId: 'my-spa',
scope: 'openid profile',
silentRefreshTimeout: 5000, // For faster testing
sessionChecksEnabled: true,
});

this.oauthService.tokenValidationHandler = new JwksValidationHandler();

this.oauthService.loadDiscoveryDocumentAndLogin();
this.oauthService.setupAutomaticSilentRefresh();
this.oauthService.events.subscribe(e => {
if (e instanceof OAuthErrorEvent) { console.error(e); }
else { console.warn(e) }
});
}

public get claims() { return this.oauthService.getIdentityClaims(); }
public get accessToken() { return this.oauthService.getAccessToken(); }

login() { this.oauthService.initImplicitFlow(); }
logout() { this.oauthService.logOut(); }
refresh() { this.oauthService.silentRefresh(); }
}

在 IDServer4 端,我像这样配置我的客户端:

new Client
{
ClientId = "my-spa",
AllowedGrantTypes = GrantTypes.Implicit,
AllowAccessTokensViaBrowser = true,
AccessTokenLifetime = 30, // Seconds (for testing purposes)
RedirectUris = { "http://localhost:4200/", "http://localhost:4200/silent-refresh.html" },
PostLogoutRedirectUris = { "http://localhost:4200/" },
AllowedCorsOrigins = { "http://localhost:4200" },
AllowedScopes =
{
IdentityServerConstants.StandardScopes.OpenId,
IdentityServerConstants.StandardScopes.Profile,
}
}

如您所见,在服务器上,我已将 "http://localhost:4200/silent-refresh.html" 列入白名单 ClientRedirectUris 属性。

我的问题是,您是否可以以不需要我将 silent-refresh.html 页面列入白名单的方式配置 angular-oauth2-oidc

我问的原因是因为我想在更改 IdentityServer 端可能不那么容易的情况下也使用这种静默刷新方法。另外,查看 Damien Bod's example of Silent Refresh in an Angular application我觉得这应该是有可能的,因为没有提到这样的白名单。

附言。如果我不包括 RedirectUris 的额外选项,那么我会在服务器上得到 Invalid redirect_uri: http://localhost:4200/silent-refresh.html (日志)和客户端库中的 silent_refresh_timeout OAuthErrorEvent

最佳答案

在进一步使用该库后,我认为答案是您不能轻松做到这一点。

如果您必须这样做,您需要调整为 Angular 应用程序提供服务的 index.html,以便它以不同的方式引导。基本上,静默刷新会加载that 文件而不是 silent-refresh.html 文件,因此索引必须有 2 种模式:一种用于常规应用程序加载,另一个有效地做到这一点:

parent.postMessage(location.hash, location.origin);

因为这就是 silent-refresh.html 所做的全部。但这可能会有点困难,因为当 CLI 创建生产构建时,它需要 Hook index.html 的生成。

因此,尽管技术上是可能的,但这样做并不是很实用。

关于angular - 使用 angular-oauth2-oidc 和 "silent refresh"没有白名单 silent-refresh.html,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50108447/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com