我有一个与多种服务进行通信的Web和移动应用程序。我正在考虑使用身份服务器4进行身份验证和授权,但我坚持为移动应用程序选择正确的流程。在阅读和观看几个视频后,我认为Hybrid更安全,更好但是对于移动用户使用混合流是没有意义的,因为他们是我们的应用程序用户,而且我们没有使用任何外部提供商。
与我们的应用程序用户一起浏览OpenId Interactive流程似乎不是非常用户友好。
所以我不确定什么是正确的,安全的,长寿命的令牌流程,适合移动流程。
答案 0 :(得分:3)
使用PKCE的混合流程是移动应用程序的最佳实践。这为您提供了最安全的用户和客户端身份验证,您可以使用在移动设备上运行的公共客户端。
授权码也是可以接受的,但是使用Hybrid,您可以获得一个身份令牌,您可以在泄露秘密或验证码之前立即进行验证。
有关最佳做法和深入解释,请参阅RFC 8252 - OAuth 2.0 for Native Apps。