使用OAuth验证javascript应用程序

Question

我在使用本地存储并与同一域上的API进行通信的JavaScript中构建了一个JavaScript应用程序。我希望用户能够执行初始身份验证（用户名和密码），然后可能每10天左右进行一次定期身份验证，并且我希望使用OAuth来执行此操作。我想使用双腿认证，因为我不希望用户在认证后不得不确认访问权限。但是，我知道秘密不能安全地存储在JavaScript中，所以这可能吗？如果是这样，我该如何去实现它？

Answer 1

是的，您可以使用Resource Owner Password Credentials grant type来实现此目的。这是使用client_id，grant_type，用户名和密码的OAuth授权服务器的简单HTTP POST。返回的是access_token和一些关于它的元数据（类型，到期日，刷新令牌）。刷新令牌可用于请求您的“10天”情况下的新访问令牌，访问令牌可能更合适几分钟（会话超时）。

此授权类型的客户端身份验证（带有client_secret）是可选的。