spring-boot - Spring Security OAuth2是否通过PKCE支持浏览器（Angular）客户端的授权代码流？

时间：2018-11-30 22:50:01

标签： spring-boot spring-security oauth-2.0 spring-security-oauth2

浏览器应用程序auth过去是使用授权服务器的隐式授予来管理的。我使用Spring Security Oauth成功地实现了这一点。

这种方法有几个缺点：

不支持刷新令牌，因此当令牌过期时，我们需要与授权服务器重新进行身份验证。
出于安全方面的考虑，不建议使用此赠款（请参见https://oauth.net/2/grant-types/implicit/和https://tools.ietf.org/html/draft-parecki-oauth-browser-based-apps-01）。

当前推荐的选项是将授权代码流与PKCE一起用于浏览器应用程序。

这如何在带有Spring Boot oauth的Spring Boot授权服务器中实现？

答案 0 :(得分：3)

否，尽管there is a ticket for it，它尚不支持PKCE。

还请注意，在将Spring Security的OAuth支持迁移到Spring Security本身时，它处于过渡阶段。随时关注this feature matrix，了解进展情况。