我可以找到大量的单页应用程序示例(无法管理客户机密码)以及使用OAuth的大量服务器端应用程序(可以管理客户机密码)的大量示例。 但对我们而言,我怀疑,大多数企业系统,系统都是基于服务器和基于客户端的。 我们可以轻松(并且安全地)识别客户端服务器端,然后我们可以将生成的(用户)access_token用于浏览器端。
问题是,这样做会带来风险吗?
客户端 - 服务器(客户端的服务器端组件)无法保证浏览器正在运行其代码 - 但它可以保证资源所有者已批准对客户端上资源所有者数据的所有访问权限。
感谢。
答案 0 :(得分:0)
原则本身不会带来风险,但当然您需要处理用于向访问者公开访问令牌的方法。这里记录了一种这样的方法:https://hanszandbelt.wordpress.com/2017/02/24/openid-connect-for-single-page-applications/
它建议公开可以使用cookie调用的服务器端端点,然后cookie将返回可能包含访问令牌的会话信息。