自从过去48小时以来,这让我发疯。
我们的想法是使用auth服务器(由我们管理)对SPA应用程序进行隐式授权。我可以看到用户必须使用我们自己的身份数据库或谷歌(例如)登录的流程,这很好。
但是在其他情况下,Auth服务器只想确保请求来自有效(注册客户端)。对于例如在应用程序(资源)的新用户注册功能或忘记密码功能。显然,在这种情况下,用户将不会登录,因为他/她首先没有用户名/密码。
在这种情况下,我们如何使用隐式授权来确保请求来自有效的客户端而不是某个黑客的网站?
这是否可以通过隐式拨款来实现?
由于
答案 0 :(得分:1)
使用隐式流程,客户端应使用客户端ID和回调URL进行注册。