У меня в настоящее время есть угловой 2 SPA , вызывающий Web API .Я использую службу маркеров безопасности, реализованную с Identity Server 3 и библиотекой javascript oidc-client-js для обеспечения аутентификации и авторизации для использования веб-API.
Протокол OpenId Connect с использованием неявного потока .
Я реализовал автоматическое обновление токена на основе этого artice .Это для того, чтобы всегда иметь текущий Access_Token при вызове API.
Для того, чтобы выйти из системы после определенного периода бездействия, я использую таймер JavaScript для вызова UserManager.signoutRedirect метод из библиотеки Oidc_Client_Js.
Это работает, однако я обеспокоен тем, что это может быть открыто для манипуляций, так как сеанс пользователя контролируется Javascript на клиенте.
Мой вопрос:Существуют ли какие-либо рекомендуемые методы для применения «скользящего» автоматического выхода из одностраничных приложений, защищенных с помощью OpenId Connect?