OIDC中有多个身份验证流；隐式和授权码流是SPA可访问的两个主要流。 ietf mailing list中最近的电子邮件指示应优先使用Auth代码流而不是隐式流，这是由于存在访问令牌出现在浏览器历史记录和/或日志文件中的安全性问题（如果有任何SSL终止/检查/等） ）。

是否有任何白皮书或RFC支持一种流程在另一种流程之上？今天是否有一种行业标准/公认的方法？

这已经交叉发布到SoftwareEngineering了，因为它有点值得商topic。我不是在寻求意见；而是获得官方支持/白皮书/参考资料，以支持更好的安全性/实施要求。我一直找不到它们，因此不确定使用哪种方法。

这已经交叉发布到SoftwareEngineering，因为它有点值得商topic。我不是在寻求意见；而是获得官方支持/白皮书/参考资料，以支持更好的安全性/实施要求。我一直找不到它们，因此不确定使用哪种方法。


在2018年末，针对公共客户（SPA）出现了一些变化。现在有两个最佳实践草案，均建议使用身份验证代码流而不是隐式代码。

https://tools.ietf.org/html/draft-ietf-oauth-security-topics-11
https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-00