我需要为SPA应用程序集成OpenId connect,而URL中没有令牌ID,我们可以这样做吗?
答案 0 :(得分:1)
我假设您在URL中具有ID令牌时存在一些安全问题...
在这种情况下,我可以看到两种减轻风险的方法:
确保OIDC提供程序使用URL片段而不是通过查询字符串重定向到您的应用程序。这样可以确保不会将参数发送到可能会出现在日志中的服务器,并且应已将其作为提供程序的隐式流默认响应方式。如果需要,您可以使用response_mode=fragment
来强制执行。
您可以注册“公共”客户端,但仍使用授权代码流从令牌端点获取ID令牌。在这种情况下,您不会向令牌端点提供client_secret
(因为客户端是公共的)。您也可以考虑在此流程中使用PKCE。