OIDC中有多个身份验证流;隐式和授权码流是SPA可访问的两个主要流。 ietf mailing list中最近的电子邮件指示应优先使用Auth代码流而不是隐式流,这是由于存在访问令牌出现在浏览器历史记录和/或日志文件中的安全性问题(如果有任何SSL终止/检查/等) )。
是否有任何白皮书或RFC支持一种流程在另一种流程之上?今天是否有一种行业标准/公认的方法?
这已经交叉发布到SoftwareEngineering了,因为它有点值得商topic。我不是在寻求意见;而是获得官方支持/白皮书/参考资料,以支持更好的安全性/实施要求。我一直找不到它们,因此不确定使用哪种方法。
最佳答案
这已经交叉发布到SoftwareEngineering,因为它有点值得商topic。我不是在寻求意见;而是获得官方支持/白皮书/参考资料,以支持更好的安全性/实施要求。我一直找不到它们,因此不确定使用哪种方法。
在2018年末,针对公共客户(SPA)出现了一些变化。现在有两个最佳实践草案,均建议使用身份验证代码流而不是隐式代码。
https://tools.ietf.org/html/draft-ietf-oauth-security-topics-11
https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-00