作爲背景,我使用的是Google OAuth2 NodeJS客戶端,但我認爲我的問題更加抽象/獨立於技術。單頁應用程序的服務器應該如何處理oAuth令牌?
我的網站是通過AJAX與服務器通信的單頁應用程序。
當用戶第一次訪問我的網站時,我會執行OAuth2流程,將其重定向到Google以登錄,然後使用訪問令牌重定向回我的網站。我將這個訪問令牌存儲在一個cookie中,並使用它來處理通過AJAX對服務器進行的各種調用。
我的挑戰是我不確定在access_token過期時該怎麼做。我是否應該將refresh_token存儲在cookie中,並使用它,或者是否存在安全問題?
我應該重定向瀏覽器以再次執行登錄流程嗎?這對於單頁面應用程序來說似乎相當難看。