Я создаю одностраничное приложение, которое будет взаимодействовать с сервером авторизации (в моем случае GitLab) и двумя серверами ресурсов (GitLab и мой собственный REST API).Мой собственный REST API также будет взаимодействовать с GitLab от имени пользователя.
Теперь мой вопрос заключается в следующем:
- использовать неявное предоставление, что приведет к тому, что пользователь получит
access_token, который затем может быть перенаправлен на наш REST API, чтобы и SPA, и REST-сервер могли отправлять запросы поставщику ресурсов от имени пользователя. - использовать грант авторизации, где наши REST API будут обмениваться.код для
access_token и его возврат пользователю - используйте оба (предоставление кода авторизации для сервера REST, неявное для SPA)