authentication - JHipster - 单页应用程序 - OAuth2 / OIDC 和访问令牌位置

问题描述

请注意，我对 OAuth2 和 OpenID Connect 还是很陌生，所以我可能有点困惑。AFAIK，2021 年推荐使用 OAuth2 的身份验证流程是Authorization Code Flow。我已经阅读了RFC 6749。

我已经使用 JHipster（v6.10.5，而不是 v7）通过以下配置初始化了一个项目：

• 您想创建哪种类型的应用程序？单体应用（推荐用于简单项目）
• 您想使用哪种类型的身份验证？OAuth 2.0 / OIDC 身份验证（有状态，与 Keycloak 和 Okta 一起使用）
• 您想为客户端使用哪个框架？React（即 SPA 应用程序）

我想知道为什么 JHipster 的实现是有状态的？（即使用 HTTP 会话 cookie JSESSIONID；访问令牌和刷新令牌存储在后端而不是浏览器端）。

他们为什么不让浏览器充当 OAuth 2.0 客户端来执行身份验证并将访问令牌和刷新令牌存储在浏览器端？

我在JHispter 安全页面上找不到任何解释。

此外，此博客还提到了一个架构，该架构解释了带有公共客户端/SPA 的 OIDC 授权代码流。

标签： authenticationoauth-2.0single-page-applicationjhipsteropenid-connect