如何在浏览器中获取JS代码的长期身份提供者令牌

Question

我正在使用cognito通过Fb，Amazon，Twitter，google实现Js浏览器侧代码登录。

到了我可以获取所有4个客户端令牌的阶段，但是这些令牌的生存期很短，并且会在1-2小时内失效。

研究表明，Google令牌仅可持续1个小时，要延长使用寿命，需要服务器端代码。

FB令牌持续2个小时，自动刷新，但仅在用户登录时有效。 令牌将在用户下次返回时过期（例如2天后）。 再一次，这需要服务器端代码来获取更长寿的令牌。

Amazon令牌的有效期为1小时，Twitter令牌不会过期。

感谢所有帮助（指向文档，经验等的链接）。

浏览器上的JS（不是node.js）

使用Cognito，但使用AFAIK，它与令牌的寿命无关。

也欢迎进行更正。

Answer 1

试图延长浏览器中的短暂访问令牌不是一个好主意（尽管可能，至少对于FB而言），因为那样的话，您就必须在JS应用程序中公开应用程序的秘密，每个人都可以理论上是从中窃取的 。

您可以通过这种方式来松开对社交应用程序的访问。 因此，在服务器端执行此操作更有意义。

看到

• https://developers.facebook.com/docs/facebook-login/security
• https://developers.facebook.com/docs/facebook-login/access-tokens#portabletokens
• https://developers.facebook.com/docs/facebook-login/access-tokens#apptokens

请注意，由于此请求使用您的应用程序密钥，因此绝不能以客户端代码或可以反编译的应用程序二进制文件形式进行请求。 重要的是，永远不要与任何人共享您的应用程序秘密。 因此，此API调用仅应使用服务器端代码进行。