gpt4 book ai didi

authentication - 对 SPA 使用刷新 token 和静默身份验证有什么区别?

转载 作者:行者123 更新时间:2023-12-04 06:40:28 25 4
gpt4 key购买 nike

据我了解,您不得为 SPA 发出刷新 token 。但是可以选择获取新的访问 token ,例如静默身份验证。

为简单起见,您向授权服务器 (AS) 提供刷新 token 并获得新的访问 token 。通过静默身份验证,您将当前的访问 token 传递给 AS 上的某个端点,如果它有效,您将获得一个新的访问 token 。

所以请纠正我,因为我不明白为什么静默身份验证是更安全的方法。

最佳答案

With silent authentication you pass current access token to some endpoint on the AS and if it is valid you get a new access token.



那不正确。

使用静默身份验证的流程如下所示:

身份验证服务器 (AS) 和客户端 (SPA)
  • SPA 重定向用户使用 AS 登录。
  • AS 登录用户并使用可用于访问 API 的访问 token 重定向回 SPA
  • SPA 调用 API 直到得到 401。(或使用其他一些机制来计算获取新访问 token 的时间)
  • SPA 对 AS 执行静默 GETauthorize端点尝试获取新的访问 token 。它不是
    需要提供旧的过期访问 token 。
  • IF AND ONLY用户仍然有一个
    与 AS 的有效 session (可能是某种身份验证 cookie)然后 AS 将
    使用有效的访问 token 响应(如果 AS 认为请求是
    有效的)。

  • article解释静默身份验证

    关于为什么更喜欢 auth cookie 与刷新 token - 这个 question澄清了这一点。

    关于authentication - 对 SPA 使用刷新 token 和静默身份验证有什么区别?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54199636/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com