【发布时间】:2019-10-29 16:58:42
【问题描述】:
我正在尝试实现 oAuth2 架构的后端,以允许对移动应用程序进行授权。最佳实践似乎是将PKCE 与authorization code 流一起使用。这降低了在应用程序本身上存储 client_secret 的风险。
我一直在查看此图表以供参考:
- 网络上似乎有很多示例显示了
Auth0 tenant的数据库,但似乎并没有太多合并PKCECode Challenge和Code Verifier。Code Challenge、Code Verifier和Authorisation Code是如何相互关联的,它们是如何相互关联的 在图上第 8 阶段的Auth0 Tenant上进行了验证? - 这就引出了我的下一个问题,即设计一个关系数据库来保存这些信息。尝试在 Auth0 租户上声明授权的用户一次只会发送一个
Code Challenge,那么此信息是否可以保存在用户表中?我一直在看这个script 的想法。 - 在设计这个方面,分离出来有什么好处
来自
authentication server的Auth0 Tenant server?我打算 实现 Auth0 租户以对应用程序进行身份验证(我拥有它 这种感觉)。
未来,我计划将其他社交媒体Auth0 Tenants作为身份验证。
参考资料:
【问题讨论】: