准备工作
本节介绍如何将XAuth作为WEB应用程序的用户存储库并实现用户登录。
如果您正在构建基于浏览器的单页面应用(SPA应用),请参考集成用户登录- SPA;或者是在构建一个API服务器,请参考保护API端点。
前提条件:
- 已经具备了XAuth的组织账户。如果没有?免费创建
- 具备基础的WEB应用程序的开发经验
- 有需要接入认证流程的WEB应用程序或项目
- 构建由服务端渲染的Web应用程序
如果您没有现有应用程序,或者对构建应用程序不熟悉,请参考以下资料:
Spring Boot
教您构建Spring Boot应用程序的基础知识,Spring Boot
或者,如果您想快速开始,只需下载一个应用示例,请下载我们Spring Boot示例
Go
教您构建Golang应用程序的基础知识,Golang
或者,如果您想快速开始,只需下载一个应用示例,请下载我们Golang示例
Python
如果您想快速开始,只需下载一个应用示例,请下载我们Python示例
WEB应用程序与Refresh token
在基于浏览器的应用程序中使用持久的refresh token时,refresh token被盗用的风险很高,然而我们可以通过对refresh token进行轮转的机制了降低这种风险。
Refresh token轮转机制有助于公共客户端在每次使用Refresh token后可以安全地保存Refresh token。每一次客户端使用Refresh token去请求新的access token时,都会返回新的Refresh token。refresh token轮转机制适用于XAuth中的SPA应用、Native应用和Web应用程序。
有关在基于浏览器的应用程序中使用refresh token的最新规范信息,请参考规范OAuth 2.0 for Browser-Based Apps
