我正在構建一組Web應用程序;後端具有類似REST的API,前端將是一些REST JS應用程序,android應用程序等;我試圖想出一個SSO功能。Oauth SSO for REST應用程序
看着Oauth2/OIDC,看起來最好的方法是使用隱式流;然而,隱式流中的訪問令牌(在oidc中)有一個到期的集合。刷新標記不是隱式流的一部分。
如何確保用戶能夠保持登錄狀態?即當訪問令牌到期時,前端應用程序將嘗試從auth服務器獲取新的訪問令牌;這是應該要求用戶名/密碼。或者,它可以與前端(使用cookie)建立會話,但這與刷新令牌有什麼不同?
在我看來,獲取訪問令牌例如從android應用程序意味着至少打開網頁瀏覽器;取決於到期時間長短,這可能會經常發生。這是正確的流程還是我錯過了什麼?