Мы только что начали с ASP.NET Web API 2 и внедрили OAuth2 клиентский токен, мандат владельца ресурса (для внутренних приложений), а также код потока токена Грант для третьегоСторонние поставщики .
Для потока кода, когда токен обновления заменяется на новый токен доступа и токен обновления, исходный токен удаляется из хранилища токенов и как таковой становится недействительным.Владелец ресурса также может в любое время отозвать токен доступа и связанный с ним токен обновления.
Один из наших поставщиков будет соблюдать грант потока кода, поскольку существует требование, чтобы владелец или представитель ресурса разрешил доступ ксервер ресурсов.
Поставщик впоследствии попросил вместо обычного потока выкупить токен обновления для нового токена доступа и токена обновления, чтобы хост-сервер автоматически предоставил новыйполучить доступ к токену и обновить токен для каждого запроса .
Идея, заключающаяся в том, что, помимо обслуживания запроса, хост-API обращается к заранее определенной конечной точке в клиентском домене, которая предоставит новый токен доступаи обновите токен.
Само собой разумеется, что такое расположение вносит сложность в хост-API и может нанести ущерб всей цели короткоживущих токенов и долгоживущих токенов обновления, и мы, вероятно, реализуем другие меры для предотвращения токена.привет-JACKing и другие типы атак.
В настоящее время наш сервер авторизации и сервер ресурсов - это одно и то же.Однако мы хотели бы оставить опцию открытой, чтобы в будущем отделить сервер авторизации от ресурса.
Вопросы из этого затем:
- Если мы рассмотримтакое расположение вообще?
- Имеет ли смысл настроить токен доступа с неограниченным сроком действия и не выдавать токен обновления с запросом токена?