Estoy a punto de comenzar a desarrollar una aplicación de negocios donde quiero que la interfaz sea una sola página de la solución de JavaScript. El backend se proporciona como una API REST. ¿Cómo puedo acceder de forma segura a la API REST desde la interfaz de Javascript?Manera segura de consumir REST Oauth 2.0 API desde javascript
Ya comencé a desarrollar Oauth 2.0 en mi API REST y ya sé sobre el "Flujo de concesión implícito", que es el flujo recomendado para los clientes de JavaScript. El problema es que este flujo solo debería proporcionar tokens de acceso de corta duración (¿quizás 1 hora?).
Los usuarios de mi sistema generalmente inician sesión por la mañana y trabajan en la aplicación todo el día (8 horas) y cierran sesión antes de abandonar el trabajo, pero si el token de acceso solo dura una hora, deben volver a iniciar sesión cada hora que no es accesible ¿Cómo resuelves esto?
Una solución que se me ocurre es que, en lugar de devolver un token de acceso que expira en 1 hora, puedo devolver un access_token con un vencimiento deslizante. Por cada llamada que el cliente realice a la API, se renovó el tiempo de caducidad con, por ejemplo, 20 minutos. ¿Pero esto se considera seguro? ¿Nunca he visto a los servidores de Oauth usar la expiración deslizante? – rgullhaug