Mobile 仅适用于移动设备的独立身份验证服务器_Mobile_Oauth 2.0_Access Token_Keycloak_Refresh Token

Mobile 仅适用于移动设备的独立身份验证服务器

mobile oauth-2.0 keycloak

Mobile 仅适用于移动设备的独立身份验证服务器,mobile,oauth-2.0,access-token,keycloak,refresh-token,Mobile,Oauth 2.0,Access Token,Keycloak,Refresh Token,我们的Nativescript Angular应用程序出现问题。我们将OAuth 2与PKCE一起用于身份验证过程，但我的团队对移动开发领域还相当陌生根据我的研究，似乎最佳实践建议刷新令牌的寿命应该在2周到2个月之间。目前，我们的访问令牌寿命设置为2分钟，刷新令牌寿命设置为30分钟。这意味着我们的用户必须每30分钟使用用户名和密码登录一次，这对于用户体验来说并不理想，我们为此收到了很多批评我们的登录页面使用WebView，因此我们也考虑尝试使用安全存储的用户名和密码版本自动填充表单字段，但后

我们的Nativescript Angular应用程序出现问题。我们将OAuth 2与PKCE一起用于身份验证过程，但我的团队对移动开发领域还相当陌生

根据我的研究，似乎最佳实践建议刷新令牌的寿命应该在2周到2个月之间。目前，我们的访问令牌寿命设置为2分钟，刷新令牌寿命设置为30分钟。这意味着我们的用户必须每30分钟使用用户名和密码登录一次，这对于用户体验来说并不理想，我们为此收到了很多批评

我们的登录页面使用WebView，因此我们也考虑尝试使用安全存储的用户名和密码版本自动填充表单字段，但后来意识到这并不能真正做到，而且对安全性也没有好处

因此，为了改进登录过程并使其更加无缝，我们希望使用pin码设置face/touch ID。这意味着我们将不得不将刷新令牌的寿命推到2个月或尽可能长——这似乎是向前推进的最佳方法

也就是说，另一个问题是，我们也有一个使用相同身份验证服务器的网站，因此，如果我们更改KeyClope设置，它也会更改该网站的设置，这将为web团队创造更多的工作

因此，我的问题是，我们是否应该仅为移动访问使用单独的身份验证服务器？

我建议您使用永不过期的脱机令牌。检查这个

基本上，在身份验证过程中，您将传递名为

offline\u access

的附加作用域，而不是常规刷新令牌，身份验证服务器将返回脱机令牌

所以我的问题是，我们是否应该只为移动访问使用单独的身份验证服务器

如果您对移动应用程序使用单独的服务器（领域），那么您将拥有单独的用户、客户端和会话集合，并且您将很难将其他应用程序与auth server集成