Question

Похоже, что существует согласие относительно использования неявного потока OpenId для SPA, хотя существуют некоторые проблемы безопасности, смягчает ли использование HTTPS этот риск или безопаснее использовать другой тип потока?например, Авторизация или Гибридный поток.

Fateh Mohamed · Answer 1 · 09 августа 2018

я думаю, что риск выше, если вы используете авторизацию или гибридный поток для SPA, для гибридного кода и кода авторизации вы должны хранить секретный код, который используется совместно поставщиком удостоверений и клиентами, что очень рискованно в случае SPA.потому что это токен обновления, который можно использовать для получения новых токенов в случае кражидавая токен обновления, который дольше живет и может быть использован, получите новый токен

Неявный поток SPA против потока авторизации против гибридного потока

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Неявный поток SPA против потока авторизации против гибридного потока

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы