- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
尝试在由以下组件组成的Web应用程序中实现OpenId Connect
身份提供者
资源服务器
单页应用程序充当客户端。
身份提供者和资源服务器是同一应用程序。
SPA使用密码流获取access_token
并将其存储到cookie中。将access_token
存储到cookie中是security threads,但这是另一回事。
问题
IdP发出的access_token
在30分钟后过期,SPA需要续签令牌,而无需再次询问用户凭据。
解
IdP返回refresh_token
和access_token
。每当SPA从资源服务器获取401
时,它将refresh_token
发送到IdP并获取新的access_token
。
问题
将refresh_token
发送到SPA是bad practice。
单页应用程序(通常实现隐式授予)在任何情况下都不应获得刷新令牌。这样做的原因是该信息的敏感性。您可以将其视为用户凭据,因为“刷新令牌”允许用户基本上永远保持身份验证。因此,您不能在浏览器中拥有此信息,必须将其安全地存储。
建议的解决方案
当访问令牌过期时,假定用户的SSO会话尚未过期,则可以使用静默身份验证来检索新的令牌,而无需用户交互。
我认为当IdP和资源服务器是同一应用程序时,Silent Authentication不适用于密码流。由IdP发行的access_token
只是可用于对资源服务器/ IdP到期后进行授权的一条信息,客户端如何说服IdP发行新的access_token
? (不发送refresh_token
)
找到使用refresh_token
续订access_token
的angular-oauth2-oidc库。
在这种情况下,续订access_token
的最佳实践/解决方案是什么?
技术细节
身份提供者-ASP.NET Core + Openiddict库。
SPA-AngularJs应用程序。
最佳答案
单页应用程序不得接收刷新令牌。在OAuth 2.0和OpenID Connect中已经建立了规则。
我在这里看到的一个不错的选择是使用Implicit Flow。这将建立从您的浏览器到Identity Provider的前台渠道会话。使用密码授予类型,您可以进行反向渠道呼叫(POST),因此您不会获得此类会话。
通常,这是一个cookie,它指向有关先前登录状态的信息(这些是身份提供商的详细信息)。流程完成后,SPA将收到access token
。如您所知,它将过期。但是一旦发生这种情况,SPA可以触发另一个隐式流,但这一次使用prompt
查询参数。
提示
空格分隔的区分大小写的ASCII字符串值列表
指定授权服务器是否提示最终用户输入
重新认证和同意。定义的值是:none,登录名,同意和select_account
如果您的身份提供者维护一个长期存在的会话(例如:几个小时或几天),或者如果它保持一个记住我的cookie,则SPA可以使用prompt=none
使其跳过身份提供者的登录步骤。基本上,您将获得基于浏览器的SSO行为。
关于asp.net-core - OpenId Connect更新SPA中的access_token,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50581462/
使用 caret::train() 运行逻辑回归模型时出现问题。LR = caret::train(Satisfaction ~., data= log_train, method = "glm",
我正在尝试将nginx容器作为我所有网站和Web服务的主要入口点。我设法将portainer作为容器运行,并且可以从互联网上访问它。现在,我正在尝试访问由另一个Nginx容器托管的静态网站,但这样做失
我有一个在 Windows XP SP3 x86 上运行的 Visual Studio 2008 C# .NET 3.5 应用程序。在我的应用程序中,我有一个事件处理程序 OnSendTask 可以同
我在 Eclipse 中创建了作为独立程序执行的此类,它可以毫无问题地连接所有 http URL(例如:http://stackoverflow.com),但是当我尝试连接到 https(例如 htt
我在我的 nginx 错误日志中收到大量以下错误: connect() failed (111: Connection refused) while connecting to upstream 我的
我正在尝试将新的 log4j2 与 Socket Appender 一起使用,但我有点不走运。这是我的 XML 配置文件:
我目前正在尝试寻找 Android 应用程序后端的替代方案。目前,我使用 php servlet 来查询 Mysql 数据库。数据库(Mysql)托管在我大学的计算机上,因此我无法更改任何配置,因为我
类MapperExtension有一些方法,before_insert, before_update, ...都有一个参数connection. def before_insert(self, map
嗨,我正在尝试更改位于连接库 (v 5.5) 中的文档的文档所有者,我仍在等待 IBM 的回复,但对我来说可能需要太长时间,这就是我尝试的原因逆向工程。 我尝试使用标准编辑器 POST 请求将编辑器更
我在 nginx( http://52.xx.xx.xx/ )上访问我的 IP 时遇到 502 网关错误,日志只是这样说: 2015/09/18 13:03:37 [error] 32636#0: *
我要实现 Connected-Component Labeling但我不确定我应该以 4-connected 还是 8-connected 的方式来做。我已经阅读了大约 3 种 Material ,但
我在Resources ->JMS ->Connection Factories下有两个连接工厂。 1) 连接工厂 2)集成连接工厂 我想修改两个连接工厂下连接池的最大连接数。资源 ->JMS ->连
我在将 mongoengine 合并到我的 django 应用程序时遇到问题。以下是我收到的错误: Traceback (most recent call last): File "/home/d
上下文 我正在关注 tutorial on writing a TCP server last week in Real World Haskell .一切顺利,我的最终版本可以正常工作,并且能够在
我在访问我的域时遇到了这个问题:我看到了我的默认 http500 错误 django 模板正在显示。 我有 gunicorn 设置: command = '/usr/local/bin/gunicor
我更换了电脑,并重新安装了所有版本:tomcat 8 和 6、netbeans 8、jdk 1.7、hibernate 4.3.4,但是当我运行 Web 应用程序时,出现此错误。过去使用我的旧电脑时,
您好,我是这个项目的新手,我在 CentOS7 ec2 实例上托管它时遇到问题。当我访问我的域时出现此错误: 2017/02/17 05:53:35 [error] 27#27: *20 connec
在开始之前,我已经查看了所有我能找到的类似问题,但没有找到解决我的问题的方法。 我正在运行 2 个 docker 容器,1 个用于 nginx,1 个用于 nodejs api。我正在使用 nginx
使用 debian 包将 kaa -iot 平台配置为单节点时。我收到以下错误。 himanshu@himpc:~/kaa/deb$ sudo dpkg -i kaa-node-0.10.0.deb
我是我公司开发团队的成员,担任管理员角色。我可以通过 https://developer.apple.com/ 访问团队的成员(member)中心 但是,当我尝试在 https://itunescon
我是一名优秀的程序员,十分优秀!