Security 是否可以使用我的服务器作为代理获取jwt刷新令牌？

我正在创建一个系统，其中有需要刷新令牌向系统报告数据的代理。用户将通过我的webapp为代理提供令牌

我正试图让服务器将刷新令牌的请求传递给我的身份验证提供程序（auth0）。流程是

用户点击“设置”

我的服务器尝试转到auth0以使用为客户端创建的承载令牌获取令牌

我将刷新令牌保存到服务器的数据存储中

我的服务器将令牌与代理包捆绑在一起，并将其下载到客户端

不过，我在第二步上被挂断了。服务器使用有效的承载令牌调用脱机/刷新令牌，但auth0服务器返回时表示需要登录并通过回调URL

我不太确定我的计划是否可行。这是否可行

如果这不可行，是否可以使用jwt库为代理创建自己的刷新令牌来签署某些令牌请求，然后在出现刷新令牌时发出自己的访问令牌

编辑：

---

我对流程做了一些修改，以便在客户端调用刷新令牌请求。我得到一个带有刷新令牌本身或授权代码的回调URL，我可以将其传递回我的服务器。在浏览器URL中使用刷新令牌似乎非常不安全！授权代码似乎有点安全，但我仍然无法在服务器端获取刷新令牌。

这些代理安全吗？为了让事情更清楚，请定义您在客户端、Web服务器和代理（应用程序）中使用的技术

您将无法在web服务器上检索刷新令牌。如果当前令牌已过期，则刷新令牌用于长时间运行的客户端获取访问令牌。如果您的代理是安全的，您可以使用客户端凭据授权来获取访问令牌。我认为这个流至少和代理上有一个刷新令牌一样安全。请让我知道这个流程是否是一个选项

谢谢,，

---

Soma.

我正试图用刷新令牌解决您试图解决的问题。仅供参考，在OAuth 2.0中，刷新令牌被授予客户端（在浏览器或移动应用程序中运行的web应用程序），仅用于授权服务器（auth0），并且从不发送到资源服务器（您的服务器应用程序）。请解释您的要求，但不要使用任何令牌/认证件。然后我们可以寻找解决方案。谢谢你，Soma。@Somayarlagada我们有数据收集代理，它们运行时没有任何需要验证的用户界面。计划是获取一个刷新令牌，将该令牌安装到代理中，使其能够获取一个访问令牌。