目前我在不同的主机上安装了Asp.Net WebAPI和客户端应用程序(Angular)。对于身份验证,WebAPI使用默认的外部OAuth提供程序(Google)实现与中间件,外部承载令牌和cookie。由于Web应用程序是单独托管的,出于安全原因,它使用隐式授权流,因此在URI中的哈希符号之后返回access_token。此外,这意味着无法实现刷新令牌。
这部分我有点困惑。 至于我的WebAPI,我使用的是本地帐户,必须使用它提供的基本信息为每个来自我的应用程序外部(来自Google)的新用户创建。因此,只有在我注册用户,登录并提供可用于访问安全API端点的LOCAL AUTHORITY承载令牌之前,才会使用外部承载令牌和cookie。这意味着我仍然拥有LOCAL AUTHORITY提供程序,它位于我的WebAPI中并管理access_tokens。
这是否意味着我可以实现刷新令牌? 如果我理解正确刷新令牌在Google和我的应用程序之间无效(因为它使用隐式授权流程),但它在我的WebAPI和客户端应用程序之间是否可行,而不会留下安全漏洞?
我对这里的刷新令牌感到有些困惑。有可能吗?
感谢您的时间。