代码之家  ›  专栏  ›  技术社区  ›  Eric B.

openid connect:spa的隐式或身份验证代码流?

openid-connect single-page-application oauth-2.0 authentication angular
  •  1
  • Eric B.  · 技术社区  · 6 年前

    OIDC中有多个身份验证流;隐式和身份验证代码流是SPA可访问的两个主要流。中最近的电子邮件 ietf mailing list 表示由于浏览器历史记录和/或日志文件中出现访问令牌的安全问题(如果存在任何SSL终止/检查/etc),应优先使用身份验证代码流而不是隐式流。

    是否有支持一个流到另一个流的白皮书或RFC?今天是否有行业标准/公认的方法?

    此已交叉发布到 SoftwareEngineering 因为这是一个有争议的话题。我不是在寻求意见,而是寻求官方帮助/白皮书/参考资料,以支持更好的安全性/实施。我一直找不到它们,因此不确定使用哪种方法。

    1 回复  |  直到 6 年前
        1
  •  0
  •   user1921819    6 年前

    这已经交叉发布到软件工程,因为这是一个有争议的话题。我不是在寻求意见,而是寻求官方帮助/白皮书/参考资料,以支持更好的安全性/实施。我一直找不到它们,因此不确定使用哪种方法。

    2018年底,公共客户(SPA)出现了一些变化。现在有两个最佳实践草案,都建议使用auth代码流而不是隐式的。

    https://tools.ietf.org/html/draft-ietf-oauth-security-topics-11
    https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-00

    推荐文章
    synergetic  ·  Asp。默认Razor Pages应用程序中的Net Core 2.0 Azure Ad身份验证
    6 年前
    data_henrik  ·  如何将Python OpenID Connect模块与IBM云应用程序ID一起使用?
    6 年前
    user217648  ·  在AD中处理帐户的正确方法是为不同的应用程序使用SSO
    6 年前
    Sat Thiru  ·  关联失败。在微软。AspNetCore。身份验证。OIDC身份验证期间的RemoteAuthenticationHandler
    6 年前
    Sagar Chilukuri  ·  使用现有MySQL数据库进行用户身份验证的KeyClope用户联合
    6 年前
    Aaron  ·  IdentityServer4和运行在iOS 9.3.5上的客户端(禁用JavaScript)
    7 年前
    triton oidc  ·  使用OpenID connect在Spring安全应用程序中生成nonce
    7 年前
    Jason Bourne  ·  如何将Okta与Keyclope一起使用?
    7 年前
    Pulkit Gupta  ·  如何在基于JSP+Spring MVC的应用程序中使用OIDC
    7 年前
    Tom Troughton  ·  oidc客户端js无法从Identity Server 4正确获取声明
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号