我即将开始开发业务应用程序,希望前端成为单页JavaScript解决方案。后端是作为REST API提供的。我怎样才能以安全的方式从JavaScript前端访问REST API?从JavaScript中使用REST Oauth 2.0 API的安全方式
我已经开始在我的REST API中开发Oauth 2.0,并且我已经知道“隐式授权流程”,它是JavaScript客户端的推荐流程。问题是这个流程应该只提供短暂的访问令牌(可能是1小时?)。
我的系统的用户通常会在早上登录,并在离开工作前全天(8小时)在应用程序中工作并注销,但如果访问令牌只能存活一个小时,他们将不得不每小时再次登录这是不可接受的。你如何解决这个问题?
我能想到的一个解决方案是,不用返回一个在1小时内过期的访问令牌,我可以返回滑动过期的access_token。对于客户对API的每次呼叫,到期时间被更新,即20分钟。但是这被认为是安全的吗?我从来没有见过使用滑动过期的Oauth服务器? – rgullhaug 2012-04-04 08:39:23