几乎每个oauth 2文档都说,设置身份验证的最佳选择是使用隐式流程,以防万一您拥有spa应用,“因为您不能在客户端确保“客户端机密”的安全,因为它完全可以在浏览器中运行,除了一篇文章之外,我能够找到-https://www.oauth.com/oauth2-servers/single-page-apps/#authorization与使用代码流隐含一个代码选项有关。
但是如果使用没有在客户端存储客户端机密的代码流以及在服务器端必要地使用“ state”参数和预先注册的重定向URL的情况,该怎么办,因为无法验证身份如上面的链接所述,没有“客户机密”的客户。也许我错过了一些东西,但是只是想知道,如果这种方法比隐式流程更安全使用,那就绕开了代码交换步骤。将很高兴听到任何有关此事的建议!