我正在使用 Thinktecture AuthorizationServer (AS),它运行良好。
我想编写一个可以直接调用 WebAPI 的原生 javascript 单页应用程序,但是隐式流不提供刷新 token 。
如果进行 AJAX 调用,如果 token 已过期,API 将发送重定向到登录页面,因为数据使用动态弹出窗口,这将打断用户。
Facebook 或 Stackoverflow 如何做到这一点并仍然允许页面上运行的 javascript 调用 API?
建议的解决方案
下面的场景听起来合理吗(假设这可以用 iframe 完成):
我的 SPA 将我定向到 AS,我通过隐式流程获得了一个 token 。在 AS 中,我单击允许 Read data 范围,然后单击 Remember decision,然后单击 Allow 按钮。
因为我点击了Remember decision 按钮,每当我点击 AS 获取 token 时,一个新的 token 会自动传回而无需我登录(我可以看到 FedAuth cookie 正在记住我的决定并相信这将使它能够正常工作)。
对于我的 SPA(不受信任的应用程序),我没有刷新 token ,只有访问 token 。所以我改为:
我想如果 FedAuth cookie 被盗,我仍然会有麻烦。
上述场景有什么标准或推荐的方法吗?
最佳答案
我了解到您的问题是,当访问 token 过期时,用户将通过重定向到授权服务器的登录页面而遇到中断。但我认为您不能也不应该绕过这个问题,至少在使用隐式授权时是这样。
我相信您已经知道,implicit grant不能保密其凭据的消费者应该使用。因此,授权服务器颁发的访问 token 应具有有限的 ttl。例如,谷歌在 3600 sec 中使他们的访问 token 无效.当然你可以增加 ttl,但它永远不应该成为一个长期存在的 token 。
另外需要注意的是,在我看来,用户中断非常少,即如果实现正确,用户只需通过授权服务器进行一次身份验证。这样做之后(例如,第一次还授权应用程序访问用户控制的任何资源时)将建立 session (基于 cookie 或基于 token )并且当消费者的访问 token (使用隐式授权的网络应用程序)时expires,将通知用户 token 已过期,需要向授权服务器重新认证。但由于 session 已经建立,用户将立即被重定向回网络应用。
如果这不是您想要的,在我看来,您应该考虑使用授权代码授权,而不是使用 iframe 做复杂的事情。 在这种情况下,您需要一个服务器端 Web 应用程序,因为这样您就可以保密您的凭据并使用刷新 token 。
关于javascript - 具有单页应用刷新访问 token 的 Oauth2 隐式流程,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23517987/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此
我有一个包含模块的模型。我想在模块中覆盖模型的访问器方法。例如:classBlah这显然行不通。有什么想法可以实现吗? 最佳答案 您的代码看起来是正确的。我们正在毫无困难地使用这个确切的模式。如果我没记错的话,Rails使用#method_missing作为属性setter,因此您的模块将优先,阻止ActiveRecord的setter。如果您正在使用ActiveSupport::Concern(参见thisblogpost),那么您的实例方法需要进入一个特殊的模块:classBlah
我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
我正在使用Sequel构建一个愿望list系统。我有一个wishlists和itemstable和一个items_wishlists连接表(该名称是续集选择的名称)。items_wishlists表还有一个用于facebookid的额外列(因此我可以存储opengraph操作),这是一个NOTNULL列。我还有Wishlist和Item具有续集many_to_many关联的模型已建立。Wishlist类也有:selectmany_to_many关联的选项设置为select:[:items.*,:items_wishlists__facebook_action_id].有没有一种方法可以
我是一个Rails初学者,但我想从我的RailsView(html.haml文件)中查看Ruby变量的内容。我试图在ruby中打印出变量(认为它会在终端中出现),但没有得到任何结果。有什么建议吗?我知道Rails调试器,但更喜欢使用inspect来打印我的变量。 最佳答案 您可以在View中使用puts方法将信息输出到服务器控制台。您应该能够在View中的任何位置使用Haml执行以下操作:-puts@my_variable.inspect 关于ruby-on-rails-如何在我的R
似乎无法为此找到有效的答案。我正在阅读Rails教程的第10章第10.1.2节,但似乎无法使邮件程序预览正常工作。我发现处理错误的所有答案都与教程的不同部分相关,我假设我犯的错误正盯着我的脸。我已经完成并将教程中的代码复制/粘贴到相关文件中,但到目前为止,我还看不出我输入的内容与教程中的内容有什么区别。到目前为止,建议是在函数定义中添加或删除参数user,但这并没有解决问题。触发错误的url是http://localhost:3000/rails/mailers/user_mailer/account_activation.http://localhost:3000/rails/mai
