我即將開始開發業務應用程序,希望前端成爲單頁JavaScript解決方案。後端是作爲REST API提供的。我怎樣才能以安全的方式從JavaScript前端訪問REST API?從JavaScript中使用REST Oauth 2.0 API的安全方式
我已經開始在我的REST API中開發Oauth 2.0,並且我已經知道「隱式授權流程」,它是JavaScript客戶端的推薦流程。問題是這個流程應該只提供短暫的訪問令牌(可能是1小時?)。
我的系統的用戶通常會在早上登錄,並在離開工作前全天(8小時)在應用程序中工作並註銷,但如果訪問令牌只能存活一個小時,他們將不得不每小時再次登錄這是不可接受的。你如何解決這個問題?
我能想到的一個解決方案是,不用返回一個在1小時內過期的訪問令牌,我可以返回滑動過期的access_token。對於客戶對API的每次呼叫,到期時間被更新,即20分鐘。但是這被認爲是安全的嗎?我從來沒有見過使用滑動過期的Oauth服務器? – rgullhaug 2012-04-04 08:39:23