OAuthでjavascriptアプリケーションを認証する

Question

私はオフラインで動作し、ローカルストレージを使用し、同じドメイン上のAPIと通信するjavascriptでWebアプリケーションを構築しています。ユーザーに初期認証（ユーザー名とパスワード）を実行させ、その後10日ごとに定期的な認証を行うことができるようにしたいと思います.OAuthを使用してこの作業を行いたいと思います。認証後にユーザーがアクセスを確認しないようにしたいので、2足認証を使用したいと思います。しかし、私は秘密が安全にjavascriptに格納することはできませんので、これは可能です知っている？そうであれば、どうすればそれを達成することができますか？

Answer 1

はい、これを実現するにはResource Owner Password Credentials grant typeを使用できます。これは、client_id、grant_type、username、およびpasswordを持つOAuth Authorization Serverへの簡単なHTTP POSTです。戻ってくるのは、access_tokenとそれに関するいくつかのメタデータ（タイプ、有効期限、リフレッシュトークン）です。リフレッシュトークンを使用して、「10日間」のシナリオで新しいアクセストークンを要求することができます。アクセストークンは、数分（セッションタイムアウト）に適しています。

クライアント認証（client_secretを使用）は、この許可タイプではオプションです。