使用OAuth实现自上次活动超时
我们是:使用OAuth实现自上次活动超时,oauth,oauth-2.0,Oauth,Oauth 2.0,我们是: 使用OAuth进行授权和身份验证 使用隐式授权流(即客户端流) 发行相对短期的访问令牌(以小时为单位,而不是以周为单位) 我想提供一个与传统的过期cookie策略类似的体验,在传统的过期cookie策略中,您可以获得一定的时间,使您的凭据正常工作,但如果您在站点上保持活动状态,窗口将不断重置。我意识到这在OAuth中并不简单。是的,令牌发出时有一个到期时间,但大多数实现都保持该时间固定,不管活动如何 当发行寿命极长的代币时,这并不像授权集成(比如Twitter应用程序)时那样奇怪。
- 使用OAuth进行授权和身份验证
- 使用隐式授权流(即客户端流)
- 发行相对短期的访问令牌(以小时为单位,而不是以周为单位)
meta
属性中
这种方法似乎有点复杂,但可行。有更好的办法吗?还有其他人处理过这个问题吗?我真的不想尝试吗?您真的不能使用OAuth 2.0进行身份验证,部分原因是您描述的;请参阅此处以获得更详尽的文字:@HansZandbelt谢谢您的链接。我想如果我正在实现OpenID,我会在这里寻找。然而,它仍然没有明确提到我的用例——它只谈到处理注销事件。因此,我仍然不清楚OP将如何决定何时提前到期,以及它将如何与RP沟通。OpenID Connect会话管理规范不仅涉及注销,还涉及通过iFrame在OP和RP之间共享会话更改;除此之外,RP可以使用刷新令牌请求来更新其先前获得的id_令牌及其相关到期日