我需要为 SPA 应用程序集成 OpenId connect,但 URL 中没有 token id,我们可以这样做吗?
最佳答案
我假设您对 URL 中包含 ID token 存在一些安全问题...
在这种情况下,我可以看到两种降低风险的方法:
确保 OIDC 提供程序使用 URL 片段而不是通过查询字符串重定向到您的应用。这可确保参数不会发送到可能最终出现在日志中的服务器,并且应该已经是提供程序对隐式流的默认响应模式。如果需要,您可以使用
response_mode=fragment来强制执行。您可以注册“公共(public)”客户端,但仍使用授权代码流从 token 端点获取 ID token 。在这种情况下,您无需向 token 端点提供
client_secret(因为客户端是公共(public)的)。您可以考虑使用 PKCE也在这个流程中。
关于java - 集成 openid connect 进行 SPA 应用的最佳方式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52757439/