似乎
没有完整的解释来解释如何做到这一点,甚至没有足够的片段让我拼凑出我必须做的事情。经过大约16个小时的学习,我终于走到了尽头。
似乎我不能使用 SSO,我也不能使用 PKCE,因为网络上任何地方都没有工作示例。有一个带有示例实现的 github 存储库,但它不起作用,并且在使用它 2 小时后,我无法确定我需要做什么才能以这种方式前进。
感谢您的任何帮助。
你可以将offline_access添加到你的作用域(例如"scope":"offline_access openid something:else"(,这将产生一个refresh_token。
Auth0 目前支持无限制refresh_token使用,因此当您的access_token过期时(您可以使用响应中的值手动跟踪过期时间"expires_in": 86400或者对来自 API 的 401 响应做出反应( - 您可以将刷新令牌发送到 OAuth2 API 终端节点并接收新的访问令牌。他们很少有关于此事的下降文章,以及您需要为客户端和 API 配置的内容以及不该做什么(取决于您的客户端安全假设(。
请注意 - 您必须正确保护refresh_token - 将其存储在某个可靠的存储中,并防止任何外部脚本访问它。我假设使用电子应用程序,您可以比公共网站更可靠。