曾经使用授权服务器的隐式授权来管理浏览器应用程序auth . 我使用Spring Security Oauth成功实现了这一点 .
这种方法有几个缺点:
-
不支持刷新令牌,因此当令牌过期时,我们需要使用授权服务器重新进行身份验证 .
-
由于其安全性问题,不建议使用此授权(请参阅https://oauth.net/2/grant-types/implicit/和https://tools.ietf.org/html/draft-parecki-oauth-browser-based-apps-01) .
目前推荐的选项是将PKCE的授权代码流用于浏览器应用程序 .
如何在具有spring boot oauth的Spring Boot Authorization Server中实现?
1 回答
不,它还不支持PKCE,尽管there is a ticket for it .
另请注意,Spring Security的OAuth支持现在处于一个过渡阶段,而它正在迁移到Spring Security中 . 请随时关注this feature matrix,了解进展情况 .