我们使用username-password grant从我们的auth服务器获取访问令牌 . 我们希望使用提供的刷新令牌在访问令牌到期之前刷新访问令牌,直到用户注销或关闭客户端应用程序 .
但是我找不到任何关于如何发出此刷新令牌请求的示例 .
要获得令牌,我们称之为:
curl -v --data "grant_type=password&username=user&password=pass&client_id=my_client" http://localhost:8080/oauth/token
所以要刷新我希望调用看起来像这样:
curl -v --data "grant_type=refresh_token&access_token=THE_ACCESS_TOKEN&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token
或者可能
curl -v -H "Authorization: Bearer THE_ACCESS_TOKEN" --data "grant_type=refresh_token&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token
但它只会给我一个401 ..
哦是的,也许我需要添加clientId?我不能使用客户端密钥,因为没有(请参阅上面获取令牌的请求) . 毕竟使用用户名和密码进行身份验证 .
我认为我们的服务器配置正确,所以我不会在这里发布 . 如果我的一个示例请求应该工作,并且您需要查看重要的配置部分,我将添加它们 .
谢谢!
2 回答
正如我所说,我们不使用客户端秘密,因为我们不能在Javascript客户端应用程序中闲逛 . 当使用用户名密码授权时,无论如何都不需要它 . (请参阅我们请求访问令牌的方式) . 事实上,我接近解决方案并最终弄明白:
所以不需要访问令牌或客户端密钥 .
总而言之,感觉足够安全 .
我们不在客户端应用程序端存储任何秘密 .
用户始终需要密码才能登录,并且只能查看其资源 .
我们将刷新令牌的有效性限制为像工作日那样的实际时间,以便即使它被泄露,攻击者的窗口也受到限制,同时仍允许用户在整个长会话中方便地保持与资源服务器的连接 .
对于密码grant_type,需要clientId和clientSecret . 第三次尝试即将结束,但是您在Authorization标头中传递Base64编码的clientId和clientSecret而不是Access Token . 这是正确的刷新令牌请求:
如需参考,请查看:http://techblog.hybris.com/2012/06/11/oauth2-resource-owner-password-flow/