Меня смущает вопрос о том, как мы защищаем аутентификацию в наших собственных приложениях с помощью oAuth2 и схемы предоставления пароля.
Поскольку все мое приложение - это Javascript, я не могу безопасно хранить секрет клиента или идентификатор клиента.В соответствии со спецификацией нам не нужно передавать ни один с этим типом предоставления, но Laravel Passport требует этого, поэтому я думаю о создании прокси, который внедрит оба значения в запрос.
Я мог бы использоватьнеявный тип предоставления, но это перенаправит моих пользователей на веб-сайт и нарушит работу пользователя.
Согласно oauth.com:
Предоставление пароля используется при обмене приложениемимя пользователя и пароль для токена доступа.Это именно то, что OAuth был создан для предотвращения в первую очередь, поэтому вы никогда не должны позволять сторонним приложениям использовать этот грант.
Но как мы можем запретить сторонним приложениям использоватьтот же поток аутентификации, тем более что этот тип предоставления не использует URL перенаправления?