假设我们有一个客户端SPA和一个适用于我们应用程序的API:
使用OAuth2授权代码流,我们需要指定一个redirect_uri。我认为最好的方法是永远不要将access_token或authorization_code暴露在前端。
我看到许多示例,其中建议注册指向SPA和本机移动应用程序的客户端应用程序的重定向uri。例如: https://www.oauth.com/oauth2-servers/redirect-uris/
您是否应该将重定向uri注册为myapp.com/callback或api.myapp.com/callback?每种方法的利弊是什么?