OAuth2流程和私有应用程序的最佳实践

请耐心等待我解释我的问题以及我找到的解决方案/指南。

描述：在我的公司，我们有一个产品有多个模块。每个模块都是独立的后端和前端。我们有JavaEE/JakartaEE，JAX-RS作为后端堆栈，React作为前端堆栈。到目前为止，我们通过会话使用JavaEE Security来使用基本身份验证，但由于产品正在发展，我们需要移动客户端并允许第三方访问数据，我们决定将OAuth2/OpenID Connect集成到我们的应用程序中。

由于有多种实现提供OAuth2功能，我们目前正在研究一些可用的选项。(例如Keycloft和ORY Hydra)。我们将选择的决策取决于我们想做多少工作来改变应用程序的现有结构——我们如何处理数据库中的用户。但无论我们选择哪种实施方式，我们都会面临类似的问题。

问题

1. react应用程序如何处理登录过程和令牌存储？

   每个文档都说：如果用户没有登录，他将被重定向到登录页面。登录并同意后，他将被重定向回应用程序(显然是在完成oauth2工作流后)，并使用资源服务器的访问/ID令牌和/或刷新访问/ID代币的刷新令牌

   现在我不清楚的是：

   • 由于这是我们自己的React应用程序，我们不想显示同意屏幕，就像在微软/谷歌等公司的应用程序中一样，你看不到任何同意屏幕。我想这是可能的，可以在请求本身设置一个值，或者根据客户端id跳过同意屏幕，但我只想确保。

   • 接下来是访问和刷新令牌的存储位置？接入令牌应作为承载令牌随每个请求一起发送。因此，它可以存储在本地存储中，因为它们的寿命很短，但刷新令牌应该安全存储。就像在安全的http cookie中一样？。如果是这样的话，那么服务器必须设置它。如果这是正确的，流会是这样的吗？

     Our React App (Not logged In)->Login Page (Another React Page)->User Enters Credentials->Java Backend->Authenticates the user->Initiate the OAuth2 process->Get the Access and Refresh Tokens->Set them as secure Cookies->Return the authenticated response to frontend with the cookies->Login Page redirects to the previous page->User continues with the app

     这感觉不正确。PKCE在这种情况下有什么帮助？

2. 假设我上面写的是正确的，当用户从我们自己的应用程序或第三方应用程序登录时，我需要不同的登录流。然而，这可以通过检查客户端ID或禁用第三方客户端的密码流来确定。

3. 这同样适用于刷新令牌流。因为对于我自己的应用程序，我必须设置cookie，对于第三方，这必须直接来自OAuth服务器

我阅读/研究过的资源：

https://gist.github.com/mziwisky/10079157

OAuth是如何工作的？

编辑：添加更多链接我已经阅读

隐式授予的目的是什么

会话管理的最佳实践

RESTful身份验证

当然还有各种各样的文章和例子，从钥匙斗篷和九头蛇也。

我目前正在尝试Keycloft和ORY Hydra，找出哪种更适合我们的需求。

提前感谢大家！