给定:
- Asp MVC Core客户端
- 由ASP MVC Core托管的JavaScript客户端
- Asp Web Api
所有都使用IdentityServer进行身份验证。
问题
对于普通用户,认证是通过asp core和oidc客户端完成的。我使用asp core中的访问令牌来访问API。
现在一个JavaScript函数想要访问一个经过授权的API,并且需要访问令牌。
在JavaScript中拥有它的最佳实践是什么?我主要看到了两个选项:
1.) 在JavaScript中使用oidc客户端进行“静默”认证。(感觉是重复的工作)
2.) 将access_token存储在cookie中,JavaScript可以从中获取(可能不安全)
3.) (感觉不太好)创建一个经过授权的端点,如/me/token,返回access_token
在这种情况下,预期的方式是什么?