我有一个基于Vue的Web应用程序。我的授权服务器和资源服务器是 全部基于Spring Security的一个程序。
但是,我需要将client_id和client_secret放在URL参数中,才能从/oauth/token端点获取令牌,以便可以从Web应用程序登录。
公开我的Web应用程序的client_id和client_secret是否合适?
我是否以错误的方式使用Spring Security / OAuth2?
答案 0 :(得分:0)
您应该担心-客户机密不应在客户端Web应用程序中公开。您是否考虑过使用隐式流而不是密码流?前者不需要客户端知道客户端的机密。
另一方面,也许您根本不需要OAuth 2.0流程。一种选择是简单地将用户名/密码发送到服务器并获得令牌,而不用担心客户端ID /秘密。这将取决于您是否计划将服务器也公开给其他应用程序。如果只是这个应用程序,我看不到实现OAuth 2.0流的任何特殊优势。