如何在瀏覽器中獲取JS代碼的長期身份提供者令牌

Question

我正在使用cognito通過Fb，Amazon，Twitter，google實現Js瀏覽器側代碼登錄。

到了我可以獲取所有4個客戶端令牌的階段，但是這些令牌的生存期很短，並且會在1-2小時內失效。

研究表明，Google令牌僅可持續1個小時，要延長使用壽命，需要服務器端代碼。

FB令牌持續2個小時，自動刷新，但僅在用戶登錄時有效。 令牌將在用戶下次返回時過期（例如2天后）。 再一次，這需要服務器端代碼來獲取更長壽的令牌。

Amazon令牌的有效期為1小時，Twitter令牌不會過期。

感謝所有幫助（指向文檔，經驗等的鏈接）。

瀏覽器上的JS（不是node.js）

使用Cognito，但使用AFAIK，它與令牌的壽命無關。

也歡迎進行更正。

Answer 1

試圖延長瀏覽器中的短暫訪問令牌不是一個好主意（盡管可能，至少對於FB而言），因為那樣的話，您就必須在JS應用程序中公開應用程序的秘密，每個人都可以理論上是從中竊取的 。

您可以通過這種方式來松開對社交應用程序的訪問。 因此，在服務器端執行此操作更有意義。

看到

• https://developers.facebook.com/docs/facebook-login/security
• https://developers.facebook.com/docs/facebook-login/access-tokens#portabletokens
• https://developers.facebook.com/docs/facebook-login/access-tokens#apptokens

請注意，由於此請求使用您的應用程序密鑰，因此絕不能以客戶端代碼或可以反編譯的應用程序二進制文件形式進行請求。 重要的是，永遠不要與任何人共享您的應用程序秘密。 因此，此API調用僅應使用服務器端代碼進行。