Tôi sắp bắt đầu phát triển một ứng dụng Doanh nghiệp mà tôi muốn giao diện là một giải pháp javascript trang duy nhất. Phần cuối được cung cấp dưới dạng API REST. Làm cách nào tôi có thể truy cập REST API một cách an toàn từ giao diện Javascript?Cách an toàn để sử dụng API REST Oauth 2.0 từ javascript
Tôi đã bắt đầu phát triển Oauth 2.0 trong API REST của mình và tôi đã biết về "Dòng tài trợ ngầm" là luồng được đề xuất cho các ứng dụng javascript. Vấn đề là luồng này chỉ nên cung cấp các mã thông báo truy cập ngắn (có thể là 1 giờ?).
Người dùng của hệ thống của tôi thường đăng nhập vào buổi sáng và làm việc trong ứng dụng cả ngày (8 giờ) và đăng xuất trước khi rời công việc, nhưng mã thông báo truy cập chỉ tồn tại trong một giờ họ sẽ phải đăng nhập lại mỗi giờ mà không phải là accepatble. Làm thế nào để bạn giải quyết điều này?
Một giải pháp mà tôi có thể nghĩ đến là thay vì trả về mã thông báo truy cập hết hạn sau 1 giờ, tôi có thể trả về access_token với thời gian hết hạn trượt. Đối với mọi cuộc gọi mà khách hàng thực hiện với API, thời gian hết hạn được gia hạn với 20 phút. Nhưng điều này có được coi là an toàn không? Tôi chưa bao giờ thấy các máy chủ Oauth sử dụng hết hạn trượt? – rgullhaug