如果我们的客户端openId连接服务是否支持SPA,我有一个任务给我的团队领导反馈。所以我想知道openID认证提供商是否存在任何标准来支持单页应用程序。
所有OpenID Connect提供程序都支持SPA应用程序。如果它是一个SPA,移动应用程序或后端客户端无关紧要。
然而,你需要意识到安全隐患,一个很好的说明点是这个视频警报' oauth 20 ';//XSS对spa中OAuth 20的影响以及本最佳实践文档OAuth 2.0 for Browser-Based Apps
正如Tore所提到的,所有OIDC提供程序都支持spa,因为客户端驻留在哪里并不重要。但是,spa在处理浏览器中的令牌时引入了一些安全风险。您可能想要考虑使用轻量级的后端换前端组件实现SPA,这将允许SPA依赖会话cookie,而不是令牌。这将进一步将SPA与授权服务器分离。
你可以看看我们在security上创建的这样一个设置的演示:https://curity.io/resources/learn/back-end-for-front-end/