Estou trabalhando em um fluxo OAuth 2.0 usando Authorization Code Grant com PKCE, envolvendo dois servidores locais:
- https://sso-identify.test (servidor SSO)
- https://cookie-1.test (Aplicação web front-end)
O que implementei:
O frontend redireciona o usuário para autorização e depois retorna a chamada para /auth/callback.
No retorno de chamada, troco o código de autorização por tokens de acesso e atualização usando um /oauth/tokensendpoint dedicado em sso-identify.test.
Laravel responde com:
{
"access_token": "...",
"refresh_token": "...",
"expires_in": "..."
}
Nesse caso, o JS terá acesso ao refresh_token.
Como armazeno o refresh_token?