Как правильно использовать OAuth 2.0 в SPA?

Question

Я работаю над проектом, в котором у нас есть интерфейс Vue.js и архитектура Microservices для серверной части, размещенной в Azure Service Fabric.

Мы не хотим добавлять IdentityService для аутентификации с использованием IdentityServer4. То, чего мы хотим добиться, - это имя входа, которое в основном совпадает со стековым потоком: Вы можете войти на веб-сайт с помощью встроенной учетной записи или использовать сторонних поставщиков, таких как Google и Facebook.

Мой вопрос касается только встроенного логина. Я читал статьи, в которых говорится, что использование кода авторизации с PKCE - лучший способ в моем сценарии. Кроме того, они говорят, что Ressource Owner Password Grant не должен использоваться. Но, насколько я знаю, с этим потоком невозможно встроить логин на наш собственный сайт. Это всегда будет перенаправление на IdentityService.

Как Stackoverflow достигает этого? Они используют Грант Владельца Ресурса Passwort?

Спасибо!

Answer 1

Прежде всего, я приветствую вас, чтобы проверить, как Stackoverflow (SO) обрабатывает процесс регистрации пользователей.

SO позволяет вам три варианта. Войдите через Google, Facebook или зарегистрируйтесь непосредственно в SO. Когда кто-то использует Google или Facebook, SO использует поток кода авторизации. Пользователь перенаправлен на соответствующую страницу входа. Как только вы войдете туда, SO получит информацию о профиле пользователя от этих провайдеров идентификации, что позволит SO заполнить профиль и подключиться к пользователю.

Но когда кто-то использует встроенную страницу регистрации, это просто старая добрая страница регистрации. Там нет никакого OAuth, вовлеченного там. ТАК получить учетные данные конечного пользователя, заполнить профиль и сохранить их на своем сервере.

В вашем сценарии вы также можете опустить OAuth и использовать встроенную страницу регистрации или входа. Единственное беспокойство вызывает бремя обслуживания учетных данных конечного пользователя.