公開アプリへのオフラインアクセスのグレーティング

Question

パブリックアプリケーションへのオフラインアクセスのグレーティングに関するあなたの意見は？ 私は標準を見てきましたが、公開アプリケーションをグレーティング化するという明示的な兆候は見つかっていませんでした。offline_accessは大きなセキュリティ上の問題です。

私は、パブリックアプリケーションとして、パスワードを安全に保持することはできないと思います。リフレッシュトークンはもちろんです。同時に、refresh_tokenフローを使用するブラウザアプリケーションを持つサンプルが多数表示されるため、ユーザーをIDプロバイダにリダイレクトさせないようにするのが一般的な戦略です。

私の目標は、AJAXを使用して別のaccess_tokenを取得して、ページを更新したり、IDプロバイダにリダイレクトしたりしないようにすることです。

おかげで、 ジョージ

Answer 1

RFC6749を1として、リフレッシュトークンの発行は、他のグラン種類の認証サーバーの裁量でnot permitted with the implicit grant type、それです。

OpenID Connect specificationは、認可サーバーMUST ignore the offline_access request unless the Client is using a response_type value that would result in an Authorization Code being returnedに言及することによって少し制限されています。

とにかく、これらの仕様では、refresh tokens can receive an acceptable level of protectionの場合、公開クライアントのリフレッシュトークンの発行が許可されます。

Possible threatsが識別され、対策が（非網羅的リスト）のようになります。

• セキュアリフレッシュトークンストレージ（暗号化されたフォルダ/ディスク）。
• ロック（S）アクセストークン/リフレッシュトークンを取り消すために、不正なデバイス/アプリケーションへのアクセスを
• 可能性を防止するためresfreshトークンの
• 回転
• 結合デバイス識別とリフレッシュトークン要求