Security 是否可以使用我的服务器作为代理获取jwt刷新令牌?
我正在创建一个系统,其中有需要刷新令牌向系统报告数据的代理。用户将通过我的webapp为代理提供令牌 我正试图让服务器将刷新令牌的请求传递给我的身份验证提供程序(auth0)。流程是Security 是否可以使用我的服务器作为代理获取jwt刷新令牌?,security,oauth-2.0,access-token,jwt,auth0,Security,Oauth 2.0,Access Token,Jwt,Auth0,我正在创建一个系统,其中有需要刷新令牌向系统报告数据的代理。用户将通过我的webapp为代理提供令牌 我正试图让服务器将刷新令牌的请求传递给我的身份验证提供程序(auth0)。流程是 用户点击“设置” 我的服务器尝试转到auth0以使用为客户端创建的承载令牌获取令牌 我将刷新令牌保存到服务器的数据存储中 我的服务器将令牌与代理包捆绑在一起,并将其下载到客户端 不过,我在第二步上被挂断了。服务器使用有效的承载令牌调用脱机/刷新令牌,但auth0服务器返回时表示需要登录并通过回调URL 我不太确定我
我对流程做了一些修改,以便在客户端调用刷新令牌请求。我得到一个带有刷新令牌本身或授权代码的回调URL,我可以将其传递回我的服务器。在浏览器URL中使用刷新令牌似乎非常不安全!授权代码似乎有点安全,但我仍然无法在服务器端获取刷新令牌。这些代理安全吗?为了让事情更清楚,请定义您在客户端、Web服务器和代理(应用程序)中使用的技术 您将无法在web服务器上检索刷新令牌。如果当前令牌已过期,则刷新令牌用于长时间运行的客户端获取访问令牌。如果您的代理是安全的,您可以使用客户端凭据授权来获取访问令牌。我认为这个流至少和代理上有一个刷新令牌一样安全。请让我知道这个流程是否是一个选项 谢谢,,
Soma.我正试图用刷新令牌解决您试图解决的问题。仅供参考,在OAuth 2.0中,刷新令牌被授予客户端(在浏览器或移动应用程序中运行的web应用程序),仅用于授权服务器(auth0),并且从不发送到资源服务器(您的服务器应用程序)。请解释您的要求,但不要使用任何令牌/认证件。然后我们可以寻找解决方案。谢谢你,Soma。@Somayarlagada我们有数据收集代理,它们运行时没有任何需要验证的用户界面。计划是获取一个刷新令牌,将该令牌安装到代理中,使其能够获取一个访问令牌。