Spring Security OAuth2是否通过PKCE支持浏览器(Angular)客户端的授权代码流?

cod*_*ent 4 spring-security oauth-2.0 spring-boot spring-security-oauth2

过去,浏览器应用程序auth使用授权服务器的隐式授权进行管理。我使用Spring Security Oauth成功实现了这一点。

这种方法有几个缺点:

  1. 不支持刷新令牌,因此当令牌过期时,我们需要与授权服务器重新进行身份验证。
  2. 由于其安全性考虑,不建议使用此授权(请参阅https://oauth.net/2/grant-types/implicit/https://tools.ietf.org/html/draft-parecki-oauth-browser-based -apps-01)。

当前,推荐的选项是将授权代码流与PKCE一起用于浏览器应用程序。

使用spring boot oauth在Spring Boot授权服务器中如何实现呢?

jzh*_*aux 6

不,尽管它有票证,但它尚不支持PKCE 。

还请注意,在将Spring Security的OAuth支持迁移到Spring Security本身时,它才处于过渡阶段。随时关注此功能列表以了解进展情况。