OpenID Connect: неявный или аутентификационный поток кода для SPA?

Question

В OIDC есть несколько потоков авторизации;Поток неявного кода и кода авторизации является двумя основными, доступными для SPA.Последние электронные письма в списке рассылки ietf , указывающие на то, что поток кода авторизации должен быть предпочтительнее неявного потока из-за проблем безопасности, связанных с отображением токенов доступа в истории браузера и / или файлах журнала (если любое завершение SSL /инспекция на месте / и т.д.).

Есть ли какие-либо технические документы или RFC, которые поддерживают один поток поверх другого?Есть ли сегодня общепринятый / принятый в отрасли подход?

Это было перекрестно опубликовано на SoftwareEngineering , поскольку это отчасти дискуссионная тема.Я не ищу мнения;скорее для официальной справки / технического описания / справочных материалов, которые поддержали бы требование большей безопасности / реализации.Я не смог их найти, и поэтому не уверен, какой метод использовать.

Answer 1

Это сообщение было добавлено в SoftwareEngineering как дискуссионная тема.Я не ищу мнения;скорее для официальной справки / технического описания / справочных материалов, которые поддержали бы требование большей безопасности / реализации.Мне не удалось их найти, и, следовательно, я не уверен, какой метод использовать.

В конце 2018 г. произошел некоторый сдвиг в отношении публичных клиентов (SPA). Сейчас есть два варианта лучшихобе практики предлагают использовать поток кода аутентификации вместо неявного.

https://tools.ietf.org/html/draft-ietf-oauth-security-topics-11
https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-00