如何在 OpenID Connect/OAuth2 隐式流中获取新的访问令牌

Question

我目前在移动应用程序中使用 OpenID Connect/Oauth2 Implicit Flow。我正在为用户提供一个 Web 视图来登录并获取访问令牌和到期时间。但是，当访问令牌过期时，我是否需要要求用户重新登录？或者有没有一种方法可以使用当前的访问令牌静默获取新的访问令牌，而不会打扰用户。我想另一种选择是将令牌到期时间设置为很长的时间，但我读过这是一个坏主意。

我错过了什么吗？

Answer 1

由于隐式流不发送刷新令牌（如 RFC6746 的 section 9 中所述），因此无法使用刷新令牌。但作为一种解决方法，可以使用client credential grant 获取访问令牌。

一个可行的解决方案是首先遵循隐式流程并验证客户端。然后可以使用客户端身份验证授权进行所需的 API 调用。

示例请求（来自RFC6749）

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

 rant_type=client_credentials

响应示例（来自RFC6749）

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
   "access_token":"2YotnFZFEjr1zCsicMWpAA",
   "token_type":"example",
   "expires_in":3600,
   "example_parameter":"example_value"
}

附言- 如果您使用授权码流，您可以使用refresh_token 获取新的访问令牌。可以从OAuth2 documentation 获得如何形成请求。请注意，为此，您的授权响应应包含一个`refresh_token。

刷新令牌应该像用户凭证一样受到保护。更多可以从here的keycloak文档中阅读

示例请求和响应（来自RFC6749）

请求

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA

回应

HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache

{
  "access_token": "TlBN45jURg",
  "token_type": "Bearer",
  "refresh_token": "9yNOxJtZa5",
  "expires_in": 3600
}

Answer 2

推荐的方法是使用外部浏览器和授权代码流。检查OAuth 2.0 for Native Apps RFC。对于Android，还有一个支持库AppAuth。使用此流程，您可以使用刷新令牌来获取新的访问令牌，但是客户端密钥存在问题（通常需要访问 /token 端点），因为您无法在移动应用程序中保证它的安全（在RFC）。

如果您决定坚持使用不安全的 WebView 和隐式流（您的应用程序可以看到密码），您可以使用与 JavaScript 应用程序相同的技术 - 使用/auth?...&prompt=none URL 请求新令牌，这将如果他仍然有一个打开的会话，则返回一个新令牌而不询问用户凭据。