我们拥有由OIDC使用隐式流程授权的Angular SPA。我们使用Keycloak作为我们的授权服务器。访问令牌的寿命很短,并且会通过隐藏的iframe定期进行刷新。
[在阅读授权码流+ PKCE是推荐SPA的新推荐方法后,我们决定切换流。一切正常,但是每次我们调用Token-Endpoint时,Keycloak都会为我们提供一个刷新令牌(以及Access和ID-Token)。由于没有安全的方法来存储刷新令牌,因此我们希望继续使用隐藏的iframe方法刷新访问令牌。
是否可以在Keycloak中禁用刷新令牌?还是我们错过了什么?将刷新令牌存储在SPA中可以吗?
我遇到同样的问题,似乎无法禁用Keycloak中的刷新令牌。
我发现的解决方法是在Revoke Refresh Token设置为0的情况下启用Refresh Token Max Reuse。刷新令牌仍在生成,但不能用于检索访问令牌。