Подход OAuth 2 и обновление безопасности токенов для SPA и собственных приложений

Question

Каков подходящий безопасный способ использования OAuth 2.0 с приложениями SPA и собственными приложениями?

Я видел противоречивые мнения в переполнении стека и документации поставщика о том, следует ли хранить маркеры обновления OAuth в браузере для SPAи в родных мобильных приложениях.

Например, здесь у меня есть 3 ссылки, одна из которых IETF, включая получение токена обновления в приложении.В то время как некоторые другие, включая auth0, рекомендуют не получать токен обновления на стороне клиента.

https://www.pingidentity.com/en/company/blog/posts/2018/oauth-recommendations-for-single-page-apps.html

https://tools.ietf.org/html/bcp212

https://community.auth0.com/t/obtaining-refresh-token-along-with-access-token-in-a-spa/6476

https://developer.okta.com/docs/api/resources/oidc

Answer 1

Это разные ответы.

Для SPA используется поток кода авторизации без отправки секрета клиента (проверьте сообщения в блоге Аррона Парецки на эту тему).Как запасной вариант, неявный поток является менее безопасным, но его также можно использовать, если вы понимаете риски.

Для мобильного нативного режима рекомендуется использовать поток кода авторизации с PKCE (pixie) https://developer.okta.com/blog/2018/12/13/oauth-2-for-native-and-mobile-apps