Identity Server 4 Angular 2 Token Exspiration

Question

Ich bin auf der Suche nach Tipps, wie Token Ablauf mit Angular 2 und Identity Server 4 am besten zu behandeln. Ich verwende den impliziten Flow mit Identity Server 4, die keine Aktualisierungstoken und Ich möchte den Benutzer nach Ablauf des Tokens nicht umleiten müssen.

Warum gibt es auch kein Refresh-Token? Warum funktioniert hybrid flow nicht für JavaScript-Clients? Ich kontrolliere den ID-Server, die App und die API, also würde das funktionieren?

Answer 1

kann ich die Bibliothek empfehlen Token für die JavaScript-Anwendung für die Verwaltung: https://github.com/IdentityModel/oidc-client-js

Sie richtig die implizite Fluss für SPA verwendet haben - hier ist die Beschreibung über die Strömung ist rechts ein - https://leastprivilege.com/2016/01/17/which-openid-connectoauth-2-o-flow-is-the-right-one/

Oidc-client bietet große Funktion namens automaticSilentRenew - check the docs. Der Timer befindet sich im Hintergrund und behandelt ein Ereignis vor dem Ablauf des Tokens und verwendet einen versteckten iFrame, um ein neues Zugriffstoken zu erhalten.

Beispiel für Angular2 und oidc-client: https://github.com/jmurphzyo/Angular2OidcClient

Video mit Übersicht zur Authentifizierung und Autorisierung in JavaScript Web-Applikationen mit IdentityServer - https://vimeo.com/131636653