我理解,如果单页应用程序依赖于大量的其他api,建议使用Open Id Connect的隐式流程。我不明白的是它是如何安全的?授权服务器在用户成功登录后返回URL片段中的访问和标识令牌。难道不应该小心处理访问令牌吗?并且这并不能提供访问权限。访问令牌可能是任何人。我可能会遗漏一些基本的细节,但这对我来说看起来像是一个缺点。我知道我们可以使访问令牌短暂存在,但它仍然不会使隐式流不那么安全。 另一方面,相比之下,代码流似乎更安全。只有代码在浏览器中可见,除非您拥有应用程序的客户端ID和客户端密钥,否则没有任何意义。 我们目前希望在SPA中实施隐含流程,并且我认为这些问题必然来自其他团队成员。如果问题不清楚,请告诉我。