javascript - 移动设备隐式流上的静默刷新 token

标签 javascript react-native oauth-2.0

我正在构建一个应用程序,我必须在其中使用 Oauth2 的隐式流程(服务器无法提供授权代码 + PKCE,所以我被困在那里)。

我已经看到网络用户习惯于隐藏一个 iframe,该 iframe 在服务器和应用程序之间保持 session 来获取新的访问 token ,而无需重新连接。

我实际上想知道使用移动应用程序和 WebView 来模拟相同的行为是否可能/可行?

谢谢你的帮助

最佳答案

强烈建议不要对任何类型的应用程序使用隐式流。这是 OAuth 工作组的最新建议。您可以在 OAuth 2.0 安全当前最佳实践 草案中阅读更多相关信息(Section 3.1.2 用于特定情况)。

我的建议是使用 Authoirzation code flow(在最坏的情况下避免使用 PKCE,因为服务器不支持它)。

另一种选择是使用 Resource Owner Password Credentials Grant 。这比采用易受攻击的解决方案更安全。

关于javascript - 移动设备隐式流上的静默刷新 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57067422/

上一篇:javascript - 如何更改 OpenLayers 5.3 的图 block 语言

下一篇:javascript - 在我的 Angular 项目中使用 @types/cleave.js 时如何忽略 TS1192?

相关文章:

javascript - 在 HTML 末尾执行 JavaScript 函数而不是使用 body onload 有什么问题吗?

javascript - 使用Electron jS应用程序的应用程序启动器

javascript - React Native : Access this. props 函数内部

java - 如何在成功验证后使用 Microsoft OAuth 获取用户信息

java - 使用 php、javascript 等创建电子邮件投递箱

javascript - 如何阻止标签自动 trim 字符串后面的空格?

javascript - react native 扫描蓝牙设备

ios - React Native网络请求在iPhone上失败但在iOS模拟器上成功

oauth-2.0 - 如何将 Bitbucket 云与 Concourse CI 集成?

oauth - OAuth 授权码应何时到期?

©2024 IT工具网  联系我们