我正在开发一个Singe Page Page应用程序,并且从在线研究中,隐含的Oauth流程最适合。我担心的是我不能使用刷新令牌,也不想要求用户经常登录。
我想一个解决方案长期存在访问令牌?
最好的做法是使用oauth public client的无客户client_secret的授权代码,最好使用验证密钥进行代码交换(PKCE)授权代码。(允许刷新令牌)
以下显示了几个OAuth 2.0提供商和使用授权代码(无客户端_secret)的讨论:
- https://aaronparecki.com/oauth-2-simplified/#single-page-apps
- https://www.oauth.com/oauth2-servers/oauth2-clients/single-page-apps/
- https://www.ietf.org/mail-archive/web/oauth/current/current/msg16966.html
- https://www.ietf.org/mail-archive/web/oauth/current/current/msg16968.html
- https://www.ietf.org/mail-archive/web/oauth/current/current/msg16967.html