是否存在可以用于多种客户端类型的“一包所有” OAuth2工作流程?

时间:2018-08-26 15:03:59

标签: rest security oauth-2.0 spring-security-oauth2 rest-security

我正在构建一个将由OAuth2保护的应用程序。我期望的用户类型如下:

  1. 基于非机密浏览器的Java脚本客户端。 (我的Angular客户端应用程序)
  2. 非机密本机应用程序客户端。 (我的iOS / android客户端应用程序)
  3. 基于第三方浏览器的Java脚本客户端。 (在浏览器上运行的任何第三方JS应用程序)
  4. 第三方非机密本机应用程序客户端。 (任何第三方iOS / android客户端应用程序)

我的问题:

  1. 是否有一种工作流程/赠款类型适用于我所有上述4个用例?
  2. 如果没有,我应该考虑实施哪些工作流程以涵盖以上所有4种情况?

1 个答案:

答案 0 :(得分:1)

授权码授予类型可以涵盖您提到的所有用例。即使对于非机密的第三方JS应用程序,尽管隐式授权是针对该用例设计的,但当前的建议似乎指向授权代码授权类型。

相关问题
最新问题