我们有一个Angular SPA,使用Implicit Flow通过OIDC进行授权。我们使用Keycloak作为授权服务器。Access Token的有效期很短,并且会定期通过hidden iframe刷新。
在阅读了Authorization Code Flow + PKCE是授权SPA的新推荐方法后,我们决定更改流程。 一切运作良好,但每次调用Token-Endpoint时,Keycloak都会给我们一个Refresh Token(以及Access和ID-Token)。 由于没有安全的存储Refresh Token的方式,我们希望继续使用隐藏iframe方法来刷新access token。
有没有办法在Keycloak中禁用Refresh Token? 或者我们错过了什么?在SPA中存储Refresh Tokens是否可以?
在阅读了Authorization Code Flow + PKCE是授权SPA的新推荐方法后,我们决定更改流程。 一切运作良好,但每次调用Token-Endpoint时,Keycloak都会给我们一个Refresh Token(以及Access和ID-Token)。 由于没有安全的存储Refresh Token的方式,我们希望继续使用隐藏iframe方法来刷新access token。
有没有办法在Keycloak中禁用Refresh Token? 或者我们错过了什么?在SPA中存储Refresh Tokens是否可以?