gpt4 book ai didi

angular - OpenID 连接 : Implicit or Auth Code flow for SPAs?

转载 作者:行者123 更新时间:2023-12-02 14:27:37 31 4
gpt4 key购买 nike

OIDC 中有多个身份验证流程;隐式流和授权码流是 SPA 可以访问的两个主要流。最近的电子邮件位于 ietf mailing list表明由于访问 token 显示在浏览器历史记录和/或日志文件中的安全问题(如果有任何 SSL 终止/检查/等),应优先选择身份验证代码流而不是隐式流。

是否有任何白皮书或 RFC 支持一种流程而不是另一种流程?现在有行业标准/公认的方法吗?

此内容已交叉发布到 SoftwareEngineering因为这是一个有争议的话题。我不是在寻求意见;而是寻求官方帮助/白皮书/引用 Material 来支持更好的安全性/实现的主张。我一直无法找到它们,因此不确定该使用哪种方法。

最佳答案

This has been cross-posted to SoftwareEngineering as it is somewhat of a debatable topic. I am not looking for opinions; but rather for official help/whitepaper/reference material that would support the claim of better security/implementation. I have been unable to find them, and consequently am not sure which method to use.

2018 年底,公共(public)客户端 (SPA) 发生了一些变化。现在有两份最佳实践草案都建议使用身份验证代码流而不是隐式的。

https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-11
https://datatracker.ietf.org/doc/html/draft-ietf-oauth-browser-based-apps-00

关于angular - OpenID 连接 : Implicit or Auth Code flow for SPAs?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52426899/

31 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com