Jwt 密钥斗篷静默认证

我有一个react应用程序，它使用KeyClope端点令牌\端点对用户进行身份验证。我现在面临的问题是如何更新/刷新此令牌。我知道我可以使用刷新令牌，但这是一种糟糕的做法，因为当涉及到web应用程序时，它存在安全问题。在我看来，最好的方法是使用静默身份验证

不幸的是，我找不到任何示例或文档来实现这一点。万一你们有别的办法，我愿意接受建议

---

Tks

它只包括在身份验证请求上提供prompt=none参数，如OpenID Connect 1.0核心规范中所述：

提示可选

ASCII字符串的空格分隔、区分大小写的列表 值，该值指定授权服务器是否提示 用于重新验证和同意的最终用户。定义的值为：

没有

授权服务器不得显示任何身份验证或验证 同意用户界面页面。如果最终用户被拒绝，则返回错误 尚未通过身份验证或客户端没有预配置 同意所请求的索赔或不满足其他条件 用于处理请求。错误代码通常为 需要登录、需要交互或中定义的其他代码 第3.1.2.6节。这可以用作检查现有设备的方法 认证和/或同意

---

它只包括在身份验证请求上提供prompt=none参数，如OpenID Connect 1.0核心规范中所述：

提示可选

ASCII字符串的空格分隔、区分大小写的列表 值，该值指定授权服务器是否提示 用于重新验证和同意的最终用户。定义的值为：

没有

授权服务器不得显示任何身份验证或验证 同意用户界面页面。如果最终用户被拒绝，则返回错误 尚未通过身份验证或客户端没有预配置 同意所请求的索赔或不满足其他条件 用于处理请求。错误代码通常为 需要登录、需要交互或中定义的其他代码 第3.1.2.6节。这可以用作检查现有设备的方法 认证和/或同意

使用/auth prompt=login进行身份验证以获取访问令牌。 只需使用grant\u type=refresh\u token调用OIDC/token，即可使用access\u token刷新token。新的响应包括访问令牌、刷新令牌等。 之后，必须为新的api调用更新它们。 使用/auth prompt=login进行身份验证以获取访问令牌。 只需使用grant\u type=refresh\u token调用OIDC/token，即可使用access\u token刷新token。新的响应包括访问令牌、刷新令牌等。 之后，必须为新的api调用更新它们。

---

嗨，汉斯，我不知道这是怎么回事。今天我请求对我的用户进行身份验证。然后我收到令牌、刷新令牌等。如何根据此参数更新令牌？我应该发送请求以获取更新的令牌吗？嗨，Hans，不确定这将如何工作。今天我请求对我的用户进行身份验证。然后，我收到令牌、刷新令牌等。如何根据此参数更新令牌？我应该向witch endpoint发送请求以获取更新的令牌吗？是什么让您认为使用刷新令牌存在安全问题？我建议你搜索有关这方面的参考资料，不要仅仅相信你的直觉。OAuth是目前使用最广泛的安全协议，它与适当的安全传输协议一起使用时非常强大。。。有很多资料解释了为什么在浏览器SPA中存储刷新令牌是个坏主意。刷新令牌是长期存在的。这意味着当客户端从服务器获取令牌时，必须安全地存储此令牌，以防止潜在攻击者使用它，因此，将其存储在浏览器中是不安全的。。。更多信息：如果您不信任浏览器中的刷新令牌，请使用服务器端适配器。这将为web会话生成浏览器cookie，该cookie将链接到服务器端的访问/刷新令牌元组。不过，请记住，如果有人偷了你的饼干，而且它是长寿命的，他可能会入侵你的帐户。如果你不能在这方面信任你的用户，那么你应该尽量减少黑客使用偷来的令牌/cookie可能造成的伤害。但是，正如我所说的，互联网上的大多数站点都依赖浏览器存储来管理会话。是什么让你认为使用刷新令牌存在安全问题？我建议你搜索有关这方面的参考资料，不要仅仅相信你的直觉。OAuth是目前使用最广泛的安全协议，它与适当的安全传输协议一起使用时非常强大

---

这不是预感。。。有很多资料解释了为什么在浏览器SPA中存储刷新令牌是个坏主意。刷新令牌是长期存在的。这意味着当客户端从服务器获取令牌时，必须安全地存储此令牌，以防止潜在攻击者使用它，因此，将其存储在浏览器中是不安全的。。。更多信息：如果您不信任浏览器中的刷新令牌，请使用服务器端适配器。这将为web会话生成浏览器cookie，该cookie将链接到服务器端的访问/刷新令牌元组。不过，请记住，如果有人偷了你的饼干，而且它是长寿命的，他可能会入侵你的帐户。如果你不能在这方面信任你的用户，那么你应该尽量减少黑客使用偷来的令牌/cookie可能造成的伤害。但是，正如我所说，互联网上的大多数网站都依赖浏览器存储来管理会话。