>假设我有需要使用 OAuth2 流进行身份验证的移动应用程序。 我有两个选择:
- API 网关后面的 OAuth 服务。
- 应用直接调用 OAuth 服务,然后将请求发送到 API 网关。
最佳实践是什么?每个选项的优缺点是什么?
最新的BCP(当前最佳实践(说你应该完全将令牌排除在js之外。
https://datatracker.ietf.org/doc/html/draft-ietf-oauth-browser-based-apps
您需要某种动态后端服务器来执行Oauth。在应用和此动态后端服务器 = API 网关之间,使用基于会话的身份验证。