来自amazon API的隐式授权流仅响应带有OpenID的Access_token。我如何获得refresh_token与隐式授予以后?是否有任何方法访问refresh_token与Access_token?
在Amazon API Gateway中,隐式授权流仅在用户登录时返回访问令牌。刷新令牌不作为此流的一部分返回,因为隐式授权流是为需要访问Amazon Cognito用户池中的用户信息的基于浏览器或移动应用程序设计的。
如果访问令牌过期后需要刷新,可以使用授权码授权流代替隐式授权流。当用户登录时,此流返回访问令牌和刷新令牌。然后,当原始访问令牌过期时,您可以使用刷新令牌来获取新的访问令牌。
要使用授权码授予流,您需要配置Amazon Cognito用户池以支持该流,并修改应用程序以使用授权码获取访问和刷新令牌。您可以在Amazon Cognito Developer Guide中找到有关授权码授予流程的更多信息。
总之,在Amazon API Gateway中使用隐式授权流是不可能获得刷新令牌的。如果需要刷新访问令牌,则需要使用授权码授予流。隐式授予被认为已弃用且不安全。refresh_token不是隐式流的OAuth2规范的一部分,因为它有点没有意义。如果可以刷新,也可以使用auhtorization_code流;这是你真正应该做的。
隐式流存在于浏览器无法轻松处理javascript驱动的HTTP请求的时代,但这是很久以前的事了。