Мы используем предоставление имени пользователя и пароля для подключения нашего JS-клиента к нашему REST-серверу. В некотором смысле, токен, возвращаемый oauth / token, является нашей сессией, поскольку он предоставляет доступ к бэкэнду в течение ограниченного времени.

Мы хотели бы обновлять этот сеанс / токен каждый раз, когда мы делаем запрос к бэкэнду, используя токен.

Я знаю, что сервер выдал этот токен обновления, и я мог бы использовать его для обновления токена после его истечения.

Дело в том, что я неНе нужно, чтобы клиент отвечал за исключение истекшего токена и повторно аутентифицировался или планировал обновление до истечения срока действия токена. Я хочу, чтобы токен обновлялся сам по себе, пока он больше не будет использоваться в течение ограниченного периода времени - как сеанс. (Я бы тожене нравится выдавать запрос на обновление с каждым "данные" запрос, хотя я думаю, что я помню чтение, токен обновления действителен только один раз ..?!)

Есть ли способ сделать это в весенней безопасности, или мне придется создать какую-то собственную реализацию хранилища токенов или какую-то другую часть, которую я выберу?

Так как я могуне могу найти ответ (отсюда и пост) яЯ думаю: может быть, это не разумно, хотя я могуне думаю почему. Если я могу украсть токен, я могу украсть и токен обновления. Так что я думаю, я нена самом деле не вижу смысла в том, чтобы иметь токен обновления.

РЕДАКТИРОВАТЬ

В ответ Люку Тейлоруответь яЯ проясню наш вариант использования.

У нас есть REST-сервер, на котором хранятся данные приложений, например, персон. но также предоставляет доступ к нашему управлению контентом и позволяет клиентам публиковать в Facebook. Инкапсулирует логику приложения и хранилище данныхУ нас уже есть полноценное клиентское приложение, которое имеет собственный уровень безопасности и получает доступ к данным на нашем REST-сервере через поток учетных данных клиента. Кто может сделать то, что решено на стороне клиентаУ нас есть несколько средних и малых приложений, таких как приложение для контактов на Facebook, которые получают доступ к данным на REST-сервере, также используя учетные данные клиента.В настоящее время мы разрабатываем клиентское приложение, использующее только javascript, который будет обращаться к уровню REST, чтобы выполнять все функции, которые выполняет большое клиентское приложение, но также необходимо предоставить средства для аутентификации отдельных пользователей и разрешения многопользовательской аренды. Поэтому это новое клиентское приложение использует грант username-password для аутентификации и уровень безопасности метода для авторизации пользователей.

Таким образом, у нас есть REST-сервер, который должен обеспечивать полный доступ к нашему доверенному приложению, которое выполняет свои функции безопасности, и этот же сервер должен предоставлять доступ пользователям нашего нового клиентского приложения с несколькими арендаторами JavaScript. На производстве у нас будет несколько REST-серверов, каждый со своей базой данных, но ядро всегда будет одинаковым, поэтому теоретически один сервер должен обрабатывать все.