我有一个与多种服务进行通信的Web和移动应用程序 . 我正在考虑使用身份服务器4进行身份验证和授权,但我坚持为移动应用程序选择正确的流程 . 在阅读和观看几个视频后,我认为Hybrid更安全,更好但是对于移动用户使用混合流是没有意义的,因为他们是我们的应用程序用户,而且我们没有使用任何外部提供商 .
与我们的应用程序用户一起使用OpenId Interactive流程似乎不是非常用户友好 .
所以我不确定什么是正确的,安全的和长期存在的令牌流,适合移动流量 .
PKCE的混合流程是移动应用程序的最佳实践 . 这为您提供了最安全的用户和客户端身份验证,您可以使用在移动设备上运行的公共客户端 .
授权代码也是可以接受的,但是使用Hybrid,您将获得一个身份令牌,您可以在暴露秘密或验证码之前立即进行验证 .
有关最佳做法和深入解释,请参阅RFC 8252 - OAuth 2.0 for Native Apps .
1 回答
PKCE的混合流程是移动应用程序的最佳实践 . 这为您提供了最安全的用户和客户端身份验证,您可以使用在移动设备上运行的公共客户端 .
授权代码也是可以接受的,但是使用Hybrid,您将获得一个身份令牌,您可以在暴露秘密或验证码之前立即进行验证 .
有关最佳做法和深入解释,请参阅RFC 8252 - OAuth 2.0 for Native Apps .