REST服務與第三方OAuth2

Question

我正在爲它構建一個REST服務器和一個客戶端。現在我需要嵌入一些第三方oauth2認證。現在我將用戶引導到服務器，讓他對服務進行身份驗證，然後重定向到客戶端，有點像這樣：

客戶端：未驗證 - >服務器 - >重定向到第三方 - >重定向到服務器 - >重定向到應用程序。

然後我在客戶端上存儲一個cookie來識別用戶（cookie使用withCredentials和CORS發送）。

我現在的問題是如何在令牌過期時重新進行身份驗證？由於客戶端和服務器僅通過json進行通信，因此我必須再次啓動完整的身份驗證過程，因此用戶將失去應用程序中的所有狀態。有沒有人有如何解決這個問題的建議？在客戶端執行身份驗證並將訪問令牌存儲在服務器或其他內容上更好嗎？

Answer 1

無論您做了什麼是獲得OAuth的正確方法access_token。而你的access_token是暫時的，所以可以過期。

我認爲你可以做以下任一：

1. 檢查授權服務器（你使用獲得令牌）提供選擇使用的access_token得到一個持續時間較長的令牌。這也在OAuth 2規範中提出。

2. 嘗試存儲用戶的狀態而不使用會話。