REST服务与第三方OAuth2

Question

我正在为它构建一个REST服务器和一个客户端。现在我需要嵌入一些第三方oauth2认证。现在我将用户引导到服务器，让他对服务进行身份验证，然后重定向到客户端，有点像这样：

客户端：未验证 - >服务器 - >重定向到第三方 - >重定向到服务器 - >重定向到应用程序。

然后我在客户端上存储一个cookie来识别用户（cookie使用withCredentials和CORS发送）。

我现在的问题是如何在令牌过期时重新进行身份验证？由于客户端和服务器仅通过json进行通信，因此我必须再次启动完整的身份验证过程，因此用户将失去应用程序中的所有状态。有没有人有如何解决这个问题的建议？在客户端执行身份验证并将访问令牌存储在服务器或其他内容上更好吗？

Answer 1

无论您做了什么是获得OAuth的正确方法access_token。而你的access_token是暂时的，所以可以过期。

我认为你可以做以下任一：

1. 检查授权服务器（你使用获得令牌）提供选择使用的access_token得到一个持续时间较长的令牌。这也在OAuth 2规范中提出。

2. 尝试存储用户的状态而不使用会话。