2019-03-13波波老师,另外放在localstorage安全吗,会不会被别人直接看到并拿走,然后也能直接放在Authorization头部带过来访问服务?谢谢作者回复: 令牌放在localstorage并不是特别安全的,如果客户设备丢失,有可能被黑客获取,然后被黑客利用。这个目前没有办法完全避免,主要要靠合理设置令牌的有效期,另外,如果发现令牌被盗,oauth2支持主动申请吊销令牌。对于安全特别严格的应用,建议使用授权码模式,在此模式下,令牌在服务器端,不会跑到浏览器中。对于涉及交易的操作步骤,在令牌的基础上,一般要求用户进一步校验确认(比如手机验证码等)。
2- 2019-03-13波波老师好,相当于注册的时候就把对应的token生成好,放到前端localstorage中去,后续直接来访问服务了,我的问题是: token过期怎么处理呢,是什么逻辑过程和步骤呢?因为要refresh token。谢谢
作者回复: token过期,简单做法让用户重新登录获取新的token;比较灵活的做法,可以使用refresh token,后台自动检查token过期时间,在临近过期之前使用refresh token换取新的token。
1 
2019-01-02如果注册account的时候,调用了oauth的createUser,后续代码报错, 这个createUser就不能回滚了作者回复: 嗯,这里有个事务要完善,作为演示案例简化了。实际生产中要考虑分布式事务性,可以考虑用异步消息进一步解耦。
- 2019-01-02波波老师,oauth服务,为什么不也注册到服务发现组件里呢? 方便做多节点,可用性高一些
作者回复: 可以考虑将oauth2服务也注册到注册中心,本案例架构上也ok。实际生产中,oauth2一般和网关平行布署,外面的应用可能直接访问oauth2服务,这个时候一般用nginx反向代理+域名方式,不通过注册中心。