我正在尝试使用Angular和Spring创建一个安全的用户管理模块,我找不到让用户保持登录状态的最佳方法,因此不必每次令牌过期(15到30分钟)时都需要登录。
知道将访问令牌保持生存60分钟以上并不安全。
刷新令牌都不应该用于单页应用程序。
那么,保持用户登录的最佳做法是什么?
我没有使用Auth0安全服务,因此Auth0网站上的静默身份验证方法不适用于我的情况。
客户端应用程序是否应每隔一定时间要求新令牌?
((我在后端使用Spring的JavaEE应用程序被视为授权和资源服务器。)
[如果您的客户端知道到期时间(在身份验证过程中应该具有该时间),并且用这样的方式表示。.sessionStorage,您可以将客户端逻辑抽象为处理刷新令牌请求的服务,并且任何其他服务级别的身份验证逻辑,并且为了Separation of Concerns,请将您的“身份验证服务”与核心应用程序级别的身份验证逻辑分开,例如:Route guard