我使用身份服务器3并想知道使用JavaScript中的客户端密钥是否存在使用密码令牌授权的风险。
修改 Scott Brady回答
然后您还会知道隐式流返回一个访问令牌,并且ROPC流是不安全的并且已弃用。通过窃取客户端密钥,其他应用可以冒充您的应用,使网络钓鱼变得非常简单。您的令牌端点成为公共端点,任何人都可以使用它来验证您的用户凭据https://www.scottbrady91.com/OAuth/Why-the-Resource-Owner-Password-Credentials-Grant-Type-is-not-Authentication-nor-Suitable-for-Modern-Applications
答案 0 :(得分:1)
如果它的JavaScript在浏览器中运行,那么你的秘密就不再是秘密了。
在浏览器中运行的JavaScript被视为公共客户端。隐式流程是为您的方案明确设计的。