Blog

PKCE ile OAuth2 yetkilendirme kodu: jeton uçlarında CORS, SPA yönlendirme URI’leri ve sessiz yenileme tuzakları

Yetkilendirme sunucusu ile kaynak sunucu farklı olabilir; CORS yalnızca API’lerde değil jeton ucunda SPA kökeninize izin vermelidir.

Yayın: 2028-01-02Güncelleme: 2028-01-041 dk okuma

oauth2pkcecors

Yenileme jetonları

Kamu istemcileri SPA’larda uzun ömürlü yenileme jetonu almamalıdır; kısa TTL ile dönüşümü tercih edin.

Yenileme hataları genelde ön uç günlüklerinde CORS ile karıştırılan 401’ler olarak görünür.

SAML köprüleri ek yönlendirme ekleyebilir; ön uca duyarlı akışlarda toplam gecikme etkisini ölçün.

Koşullu erişim politikaları sessiz iframe yenilemelerini engelleyebilir; kullanıcıya görünür geri dönüşleri belgeleyin.