我正在构建一个 Angular SPA 应用程序并使用 Okta 作为 Idp。因为它是一个 SPA,所以我认为我需要使用隐式流。我这里有两个问题-
由于在隐式流程中没有发出刷新令牌,是否意味着用户在令牌过期后将退出应用程序,他必须重新登录?
为什么在 SPA 的情况下需要使用隐式流?为什么不授权代码流?因为我可以控制前端(SPA)和后端(REST API)。例如,在 Web 应用程序的 Spring MVC 架构的情况下,授权代码流是可能的。
谢谢, pchh
【问题讨论】:
标签: oauth-2.0 single-sign-on openid-connect okta okta-api
是的,如果令牌过期,您必须重新进行身份验证。通常,您在身份提供者站点上仍有一个有效会话,因此您可以使用 iframe 进行“静默”登录。像oidc-client 这样的库支持silent login,它可以为你做到这一点。
当您需要从您的 javascript 应用程序访问访问令牌时,您需要使用隐式(或混合)流。使用授权代码流,您的 javascript 应用程序无法获取访问令牌,因此如果您的 API 需要访问令牌进行授权,您将发送什么?
【讨论】:
oidc-client 添加一个示例
如果您的身份验证服务器支持 OpenID Connect(OAuth2 扩展)和单点登录 (SSO) 功能,要在旧令牌过期之前获取新令牌,请使用带有您用于身份验证的 URL 的 iframe , 但添加 prompt=none 参数(可能还有 id_token_hint 参数)。见OpenId Connect RFC。 prompt=none 参数告诉/auth 端点如果用户在您的 OAuth2 服务器上有一个开放的 SSO 会话,则发出一个新令牌。否则,请求将失败。 session management 有一个单独的 RFC。
授权代码流程要求您访问/token 端点,这通常需要身份验证(客户端 ID + 客户端密码),并且您无法在浏览器中保存密码安全。因此,令牌端点不用于支持 CORS 标头,因此您无法使用 XHR 访问它。使用 Auth 代码流,您将获得一个作为重定向 URL 参数 (?code=) 的代码,该代码将到达托管您的 SPA 的服务器(浏览器在重定向后将其发送到那里)。隐式流程在重定向 URL (#access_token=) 的哈希部分返回令牌,该令牌保留在浏览器中(不会发送到服务器),因此更安全。
【讨论】: