НЕТ, новый шаблон Angular (индивидуальный шаблон аутентификации) не использует поток владельца ресурса, фактически он использует Поток кода аутентификации + PKCE (ключ PROOF для обмена кодами) ) , что уже является официальной рекомендацией для нативных приложений и SPA. Вы можете использовать Fiddler для отслеживания запросов аутентификации:
Запрос на вход в систему для авторизации конечной точки:
Проверка code_challenge и code_challenge_method, это поток кода с PKCE. Также см. Запрос токена:
уведомление о grant_type.
В потоке кода + PKCE:
Вместо client_secret (в обычном потоке кода) клиентское приложение создает случайное значение code_verifier, которое оно хэширует и кодирует как code_challenge.
Сервер авторизации сохраняет хешированное значение (Code Challenge) для последующей проверки и после аутентификации пользователя перенаправляет обратно в приложение с помощью код авторизации.
Приложение делает запрос на обмен кода на токены, только оно отправляет верификатор кода вместо фиксированного секрета.