spring-boot - Spring Security OAuth2 是否支持带有 PKCE 的浏览器(Angular)客户端的授权代码流?
问题描述
浏览器应用程序的身份验证过去是使用授权服务器的隐式授权来管理的。我使用Spring Security Oauth成功实现了这一点。
这种方法有几个缺点:
- 不支持刷新令牌,因此当令牌过期时,我们需要使用授权服务器重新进行身份验证。
- 出于安全考虑,不建议使用此授权(请参阅https://oauth.net/2/grant-types/implicit/和https://datatracker.ietf.org/doc/html/draft-parecki-oauth-browser -based-apps-01)。
目前推荐的选项是使用带有 PKCE 的授权代码流用于浏览器应用程序。
如何在 Spring Boot 授权服务器中使用 Spring Boot oauth 实现这一点?
解决方案
推荐阅读
- javascript - 在 javascript 中使用模块模式获取未定义
- c# - 使用现有的 UserDb 在 .NetCore MVC 中实现新的 IdentityServer
- java - 如何为 org.apache.rahas.client.STSClient 添加受信任的证书,而不是在 JVM 级别更新信任库
- r - 按因子水平汇总并总计
- c++ - 如何创建“弱”功能并将其与对象一起使用?
- node.js - 当我查询 Alexa 可检索属性时如何解决“它不支持”
- c - 在 shm_open() 之后使用 fallocate() 会导致在 shm_unlink() 之后内存没有被释放
- javascript - 用复杂的数组构建复杂的胡须或车把
- angular - 来自子组件元素的活动父组件选项卡 ngxbootstrap 选项卡:角度 6
- c++ - 使用函数 findchessboardcorners() 运行错误 xmemory()?