Eri*_* B. 4 authentication oauth-2.0 single-page-application openid-connect angular
OIDC 中有多个身份验证流程;隐式和身份验证代码流是 SPA 可访问的两个主要流。ietf 邮件列表中最近的电子邮件表明,由于访问令牌出现在浏览器历史记录和/或日志文件中的安全问题(如果任何 SSL 终止/检查到位/等),应该优先考虑 Auth 代码流而不是隐式流)。
是否有任何白皮书或 RFC 支持一种流程优于另一种流程?今天是否有行业标准/公认的方法?
这已被交叉发布到SoftwareEngineering,因为它是一个有争议的话题。我不是在寻找意见;而是为了支持更好的安全性/实施的主张的官方帮助/白皮书/参考材料。我一直无法找到它们,因此不确定使用哪种方法。
这已被交叉发布到 SoftwareEngineering,因为它是一个有争议的话题。我不是在寻找意见;而是为了支持更好的安全性/实施的主张的官方帮助/白皮书/参考材料。我一直无法找到它们,因此不确定使用哪种方法。
2018 年底,公共客户端 (SPA) 出现了一些变化。现在有两个最佳实践草案都建议使用身份验证代码流而不是隐式。
https://tools.ietf.org/html/draft-ietf-oauth-security-topics-11
https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-00
| 归档时间: |
|
| 查看次数: |
1356 次 |
| 最近记录: |