截至目前,我们使用Spring Security OAuth2进行身份验证服务,该服务实现了以下授权类型:client_credentials和password。
要获取令牌,客户端(可能是HTML5 SPA客户端)必须存储client_id和secret以获取具有client_credentials或密码授予类型的承载令牌。对于这种情况,它不是非常安全,因为client_id和secret将存在于HTML5应用程序源中,任何人都可以获得它。
除了client_credentials或密码之外,是否有不同的流程?
答案 0 :(得分:0)
一般来说,对于SPA,推荐的授权协议是带有隐式授权的OAth。
您可以在此处详细了解Azure Active Directory中的实现方式(免费):https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-dev-understanding-oauth2-implicit-grant