第一方本机移动应用程序的 OAuth 2 OIDC 授权类型

【问题标题】:OAuth 2 OIDC Grant type for 1st-party native mobile applications第一方本机移动应用程序的 OAuth 2 OIDC 授权类型
【发布时间】:2019-07-05 18:21:18
【问题描述】:

手机上的第一方本机应用程序使用哪种授权类型?由于他们拥有本机应用程序和 API,因此当用户想要登录时,他们从不显示授权屏幕或应用程序内浏览器选项卡。 例如 Facebook、Google、Instagram、LinkedIn 等,他们使用什么授权类型来获取访问和刷新令牌,因为用户在登录时不会被重定向到应用内浏览器选项卡。

【问题讨论】:

    标签: oauth-2.0 identityserver4 access-token openid-connect refresh-token


    【解决方案1】:

    很可能是 ResourceOwnerPassword,但我想他们也在做很多自定义的东西来支持他们自己的 2FA 等风格。

    在这种情况下,您不需要刷新令牌,因为您已直接在应用程序中捕获了他们的凭据,因此可以随时重播令牌端点请求。

    【讨论】:

    • 你的意思是当我们提供用户名和密码时,他们将其存储在客户端,然后一次又一次地使用它们来获取访问令牌?
    • 非常感谢您的回复,但与此同时,我做了很多研发工作,我猜是这样;他们使用具有离线访问范围的 ResourceOwnerPassword 授予类型(这也为他们提供了刷新令牌)。它们同时存储访问令牌和刷新令牌以供后续请求使用。
    • 我要说的是,如果您已经知道用户的密码并且 ROP 授权类型可用,那么刷新令牌就是多余的。这暗示了为什么 ROP 通常被认为是不好的 - 查看scottbrady91.com/OAuth/…
    猜你喜欢
    • 2018-03-15
    • 2017-05-26
    • 2020-10-15
    • 2019-08-18
    • 2014-04-15
    • 2023-04-06
    • 2015-01-12
    • 2020-11-27
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode