У меня 2 клиента:
- Веб-клиент (VueJs)
- Собственное приложение (android)
Клиенты хотят получить доступ ресурсы одного или нескольких серверов в архитектуре микросервиса. Поэтому им необходимо получить токен JWT. Моя цель - добавить социальный логин с OAuth 2.0. Пользователи также должны иметь возможность зарегистрироваться через обычную форму входа. Это все должно go через загрузочный сервер с пружинной загрузкой (Auth server).
Я думаю, у меня есть 3 варианта:
- Использовать код авторизации + PKCE, когда мобильное / веб-приложение общается напрямую с OAuth (без моего сервера весенней загрузки)
- Использовать Код авторизации + PKCE с пружинным загрузочным сервером
- Используйте код авторизации без PKCE, но с пружинным загрузочным сервером
Я знаю, для веб-клиентов, неявный поток рекомендуется, но кажется, что теперь они рекомендуют Auth Code + PKCE.
Есть много похожих вопросов, учебных пособий и блогов, но я все еще в замешательстве.
Является ли какой-либо из этих вариантов правильным? Какой из них я должен реализовать.