当我在OAuth服务器上授权时,它将返回我访问/刷新令牌:
access_token: "ZjJlMGM2MDcxNDg5MDQ1NzA4ZjkyNzRiOTIwM2E5MWI4N2M0MWU0ZD..."
expires_in: 3600
refresh_token: "NWZjMzQ3YjNjMmY5YTEzYzMxMDYzNGVhNzRiNjAxZTdmZTdjNzE3z..."
scope: null
token_type: "bearer"
如何在客户端JavaScript应用程序中使用它们?
- 可以在cookie中保存访问令牌和刷新令牌吗? (安全吗? - 但是无论如何我看不到其他地方 存放它们...)
- 我可以要求这样的受保护资源:/api/user?access_token =令牌。当我访问它们时,我确实使受保护的数据成功。但是,当此访问令牌过期时会发生什么?它会自动刷新,还是需要手动处理?
- 为什么我需要刷新令牌以及何时将其发送到服务器?
三腿(用户---客户端---- oauthserver)
1)在3条腿的身份验证访问令牌中存储在客户端,永远不会转移给用户。
两个腿(用户---- oauthserver)
在2腿身份验证中,令牌存储在用户端。可能在饼干中。
2)当令牌到期时,用户明确必须使用刷新令牌才能获得新的auth token。
3)每个身份令牌都有一个有效期,用户可以提供刷新令牌以获得新的有效验证令牌。