我正在研究这个SpringOAuth2和JWT的安全实现:
根据作者的说法,我可以通过以下方式使用令牌访问资源:
要访问资源使用(您需要一个不同的应用程序 已配置资源服务器(:
http localhost:8080/users 'Authorization: Bearer '$ACCESS_TOKEN
关于此步骤:
要使用刷新令牌功能:
http --form POST adminapp:password@localhost:9999/oauth/token grant_type=refresh_token refresh_token=$REFRESH_TOKEN
我不清楚何时必须刷新令牌以及如何将此部分处理到我的Angular应用程序中。
我是否需要实现一个计时器来不时刷新令牌,或者是否有其他方法可以实现此功能?
基于 Angular 的解决方案将涉及以下步骤:
- 在浏览器中实现 SPA 安全性
- 通过 iframe 静默续订令牌
- 验证 API 中的令牌
您通常不会自己实现授权服务器 - 而是使用低成本的云提供商。
值得了解 HTTP 消息 - 步骤 22 执行令牌刷新。
有关 SPA 和 API 的实际方法,请参阅我的可视化教程 + 代码示例。然后,您可以将代码调整为 Angular。