gpt4 book ai didi

oauth-2.0 - 在 Keycloak 中禁用刷新 token

转载 作者:行者123 更新时间:2023-12-03 09:41:22 25 4
gpt4 key购买 nike

我们有一个由 OIDC 使用隐式流程授权的 Angular SPA。我们使用 Keycloak 作为我们的授权服务器。访问 token 的生命周期很短,并通过隐藏的 iframe 定期刷新。

在阅读授权码流程 + PKCE 是新推荐的授权 SPA 的方式后,我们决定切换流程。
一切正常,但每次我们调用 token 端点时,Keycloak 都会给我们一个刷新 token (以及访问和 ID token )。
由于没有安全的方式来存储刷新 token ,我们希望继续使用隐藏的 iframe 方法来刷新访问 token 。

有没有办法在 Keycloak 中禁用刷新 token ?
还是我们错过了什么?可以在 SPA 中存储刷新 token 吗?

最佳答案

从 Keycloak 的源代码可以看出,它仍然没有提供一种在身份验证代码流期间禁用刷新 token 发布的方法。不幸的是,您应该继续使用隐式授权流程,因为存储在客户端的刷新 token 是一个很大的缺陷。

关于oauth-2.0 - 在 Keycloak 中禁用刷新 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61815866/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com