OAuth提供者重定向后如何给用户JWT令牌？

Posted 2023-03-10

【中文标题】OAuth提供者重定向后如何给用户JWT令牌？

【英文标题】：How to give user JWT token after OAuth provider redirect?

【发布时间】：2015-10-19 09:04:54

【问题描述】：

我正在实现 OAuth（使用 rauth）并将提供 JWT 令牌（使用 flask-jwt）、javascript 前端（Angular1）。我已经为基于经典 cookie/会话的应用程序完成了它。有用。现在我想用 JWT 令牌来做。

如果我理解正确，用户会被重定向到提供商（例如 Google），登录帐户，我的服务器和提供商会施展魔法，然后提供商会将用户重定向回我的页面。现在我得到了用户配置文件，这结束了 OAuth 部分。在正常会话中，您可以为用户提供 cookie 和其他设置会话的内容，然后将他重定向到主页。

这就是我卡住的地方。提供者将他送回后，如何给用户 JWT 令牌有什么好的做法吗？在重定向到主页时将其作为 cookie 提供给用户？把它放在标题中？据我所知，我需要 javascript 将令牌保存到 LocalStorage/SessionStorage。

【参考方案1】：

在一天结束时，用户将被重定向回我们的应用程序，现在需要在其中呈现页面。我看到的唯一选择是将 JWT 作为 cookie 返回，因为在 Javascript 中无法访问响应标头，唯一的其他地方是将其嵌入到 DOM 中，这将使其容易受到 CSRF 攻击。

当浏览器从 OAuth 提供者重定向时，它只会有一个访问代码，可以在服务器端交换访问令牌。但最佳实践表明您需要将该访问令牌保密（而不是将其传递回浏览器）。

关于 cookie 与本地/会话存储中的 JWT 存在很多争论，但在这个用例中，除了使用 cookie 之外，我没有看到任何其他选择。我看到的所有描述使用浏览器存储的用例都假设正在发出 XHR 请求以获取 JWT。但这不是 OAuth 流程中的一个选项，因为整个浏览器刚刚被重定向回我们的应用程序。

除了将 JWT 保存在 cookie 中以用于未来的 API 调用之外，我没有看到其他选项（用于 OAuth 用例）。但也许我错过了什么。

【讨论】：

我现在面临的问题是 jwt 令牌对于 cookie 来说可能太大了

【参考方案2】：

在将控制权传递给 Facebook 身份验证之前，您可以启动与 API 的套接字连接，然后可能会在您的应用中显示加载状态。之后让 Facebook 做这件事。当它成功时，它会将数据发布到您的后端。您的后端会处理它并使用它之前创建的套接字将 JWT 传递给前端。这看起来工作量太大，如果您没有正确执行，可能会带来额外的错误。