フロントエンドを単一ページのjavascriptソリューションにしたいビジネスアプリケーションの開発を開始しようとしています。バックエンドはREST APIとして提供されます。 Javascriptのフロントエンドから安全な方法でREST APIにアクセスするにはどうすればよいですか?javascriptからREST Oauth 2.0 APIを安全に使用する方法
私はすでに私のREST APIでOAuth 2.0の開発を開始しましたし、私はすでにjavascriptのクライアントのために推奨される流れである「暗黙のグラント・フロー」について知っています。問題は、このフローが短期間のアクセストークン(たぶん1時間?)を提供するだけであるということです。
私のシステムのユーザーは通常、午前中にログインしてジョブを終了する前に一日中(8時間)、ログアウトしますが、アクセストークンが1時間しか存在しない場合は、1時間ごとに再度ログインする必要がありますそれは簡単ではない。これをどうやって解決しますか?
私が考えることのできる解決策の1つは、アクセストークンを返す代わりに、1時間で有効期限が切れることです。スライディング期限切れのaccess_tokenを返すことができます。クライアントがAPIに対して行うすべてのコールに対して、有効期限が20分に更新されます。しかし、これは安全だと考えられていますか?私は、Oauthサーバーの有効期限切れを見たことがありませんか? – rgullhaug