我正在开发一个页面页面应用程序,并且从在线研究看起来隐含的oauth流程最适用。我担心的是我不能使用刷新令牌,我不想要求用户经常登录。
我猜一个解决方案是长期访问令牌?
答案 0 :(得分:1)
最佳实践是在没有client_secret的情况下使用授权码,并且最好使用Proof Key for Code Exchange by OAuth Public Clients (PKCE)授权码。 (允许刷新令牌)
以下显示了几个OAuth 2.0提供程序和使用SPA的授权代码(没有client_secret)的讨论: