【发布时间】:2019-01-21 08:54:29
【问题描述】:
我有一个使用OAuth / OIDC 服务登录的应用。
它使用标准做法,渲染WKWebView,与提供者完成身份验证,捕获回调url,设置一些令牌并关闭webview。
如果可能,我想使用TouchID 允许用户快速通过KeyCloak 进行身份验证。
我不确定如何实现这一点,但是由于我自己没有存储用户密码,它们是通过webview 捕获的,我不应该知道它们。
【问题讨论】:
-
您可以将令牌存储在钥匙串中并使用生物认证来检索它;这将防止“未经授权”的用户打开应用程序并使用存储的令牌。在某些时候刷新期将到期,用户将需要使用该点手动重新验证您可以更新存储的令牌
-
但刷新令牌的有效期通常为 30 分钟左右。
-
@user1366265 这是不正确的。也许访问令牌的有效期很长,但是我建议您使用更短的时间,例如 5 分钟。刷新令牌的有效期应该更长,从技术上讲,它们甚至可以永不过期。一旦访问被撤销,令牌就会变得无效,因此从技术上讲不需要生命周期,尽管这是一种很好的做法。