据我了解,您不得为SPA发行刷新令牌。但是,还有一些选项可以获取新的访问令牌,例如静默身份验证。
为简单起见,您向授权服务器(AS)提供刷新令牌,并获取新的访问令牌。使用静默身份验证,您可以将当前访问令牌传递到AS上的某个端点,如果有效,您将获得一个新的访问令牌。
所以请纠正我,因为我不明白为什么静默身份验证是更安全的方法。
答案 0 :(得分:1)
通过静默身份验证,您可以将当前访问令牌传递到AS上的某个端点,如果有效,您将获得一个新的访问令牌。
那是不正确的。
具有静默身份验证的流程如下:
身份验证服务器(AS)和客户端(SPA)
<Frame x:Name="frame" />
个端点试图获取新的访问令牌。它不是
需要提供旧的过期访问令牌。 Navigated用户仍然有一个
与AS的有效会话(可能是某种身份验证cookie),然后AS
使用有效的访问令牌进行响应(如果AS认为该请求是
有效)。好的article解释了静默身份验证
关于为何偏爱身份验证cookie而不是刷新令牌的原因-此question对此进行了澄清。