OIDC:代码流和隐式流中的url差异

【问题标题】:OIDC : url differences in code flow and implicit flowOIDC:代码流和隐式流中的url差异
【发布时间】:2021-10-02 07:40:26
【问题描述】:

我是OIDC 的新手。我指的是video 在我的应用程序中使用OIDC

查看代码流(响应类型:代码)和隐式流(响应类型:Id_token)的 URL 我注意到一些奇怪的东西,在重定向 URL 中 code 提供为 query parameter(后跟 ? ) 但id_token 后跟#。同样的事情也发生在我的应用程序中。为什么id_token 也没有作为query parameter 提供。我用谷歌搜索但没有找到任何答案。

代码流网址:

隐式流url:

(视频参考:39:03 , 53:35)

【问题讨论】:

    标签: oauth-2.0 openid-connect implicit-flow


    【解决方案1】:

    不推荐使用隐式流并将令牌直接返回给浏览器。它在 Web 服务器不包含在其日志文件中的(客户端)哈希片段上执行此操作。

    当单页应用是新的并且授权服务器不支持 CORS 时,这曾经是解决方案。

    如今,授权代码流是标准的,我将把你所有的精力都集中在这上面。在此模型中,查询参数中会返回授权码,但是:

    • 它是一次性使用,因此即使包含在服务器日志中,通常也不会被利用
    • 它通常还需要客户端密码才能将其交换为令牌

    现在代码流还应该使用PKCE,它可以与客户端密码结合使用。

    【讨论】:

      猜你喜欢
      • 2021-05-19
      • 1970-01-01
      • 2019-06-12
      • 2021-11-25
      • 2022-07-07
      • 2017-08-01
      • 2022-08-21
      • 2021-01-29
      • 2020-06-28
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode