使用spa和后端实现身份验证代码流

Question

我有（拥有并开发）一个SPA应用程序（Angular），它是后端（服务器端Spring REST API-资源提供者）。

我想将身份验证外包给第三方（身份验证服务器/身份提供商（IdP））。 （我有客户ID +密码）。

我希望Angular应用能够持有令牌并能够在后端进行身份验证，并在第三方（IdP）上建立我的用户身份。

我发现授权代码流对我来说是正确的方法，因为我的IdP不接受PKCE的代码流。因此，我想通过这种方式实现它来确保自己走在正确的道路上：

1. 用户单击第3方登录按钮，将重定向到Auth Server并征得同意，然后使用身份验证代码再次重定向回SPA应用。
2. 由于我的客户机密存储在后端服务器中，因此SPA应用无法直接从身份验证服务器请求令牌，因此它将令牌发送到后端服务器。
3. 后端服务器从SPA接收代码，然后继续从auth服务器获取令牌。收到后，便将其发送回SPA应用程序
4. SPA应用程序将令牌用于受保护的资源