我正在使用 oidc 和 oauth 实现身份验证和授权。我对流程有一些疑问。因此,在用户输入凭据并重定向到带有状态和随机数的 url 中的查询参数的 rediret_uri 之后,我是否在所有验证都通过后将它们从后端本身的回调处理程序重定向到我的前端,或者是redirect_uri应该是前端网址?此外,服务器在成功验证后会提供刷新令牌和访问令牌,而前端永远不会获得这些令牌。
如果身份验证成功,我会在后端使用前端所需的信息签署 jwt,并将其发送到前端。现在这个 jwt 将过期。我想借助刷新令牌默默地更新此 jwt。我该怎么办? 如有错误请指出。
假设您提到的是授权码流程。如果是这种情况,身份验证代码和状态将被赋予查询参数中提到的返回 url,但在此之前验证查询参数中提到的返回 url 是否已在后端注册(它应该在您的数据库中) )。然后返回 url 将查询您的令牌端点以检索访问令牌以及刷新令牌