OIDC中有多个身份验证流;隐式和授权码流是SPA可访问的两个主要流。 ietf mailing list中最近的电子邮件表明,由于存在访问令牌出现在浏览器历史记录和/或日志文件中的安全性问题,如果存在安全性SSL终止/检查,则应优先使用Auth代码流而不是隐式流/ etc)。
是否有任何白皮书或RFC支持另一种流程?今天有行业标准/公认的方法吗?
该问题已交叉发布到SoftwareEngineering,因为它有点值得商topic。我不是在寻求意见;而是要获得官方支持/白皮书/参考资料,以支持更好的安全性/实施要求。我一直找不到它们,因此不确定使用哪种方法。
答案 0 :(得分:1)
该问题已被交叉发布到SoftwareEngineering,因为它是一个值得商topic的话题。我不是在寻求意见;而是要获得官方支持/白皮书/参考资料,以支持更好的安全性/实施要求。我一直找不到它们,因此不确定使用哪种方法。
2018年底,针对公共客户(SPA)的发展有些动静。现在有两个最佳实践草案,均建议使用身份验证代码流而不是隐式代码。
https://tools.ietf.org/html/draft-ietf-oauth-security-topics-11
https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-00