资源所有者流OIDC Javascript
我被要求构建一个SPA,通过OpenId的资源所有者流对用户进行身份验证 这是一个基于React的Javascript SPA。返回的令牌将用于API调用 我已经被指向OpenIdConect的方向,特别是oidc-client.js,但我也读到这个流已经被弃用 这是真的吗? 如果有,是否有其他途径可以使用IdentityServer进行用户名/密码签名,而无需重定向,从而在应用程序内处理登录表单 到目前为止,我发现的所有文档都只关注隐式、授权代码或偶尔的混合流 A是的,我意识到隐式是建议的路线,但决定将登录保持在SPA内资源所有者流OIDC Javascript,javascript,reactjs,single-page-application,openid-connect,Javascript,Reactjs,Single Page Application,Openid Connect,我被要求构建一个SPA,通过OpenId的资源所有者流对用户进行身份验证 这是一个基于React的Javascript SPA。返回的令牌将用于API调用 我已经被指向OpenIdConect的方向,特别是oidc-client.js,但我也读到这个流已经被弃用 这是真的吗? 如果有,是否有其他途径可以使用IdentityServer进行用户名/密码签名,而无需重定向,从而在应用程序内处理登录表单 到目前为止,我发现的所有文档都只关注隐式、授权代码或偶尔的混合流 A是的,我意识到隐式是建议的路线
提前感谢。大多数前端JS库都会避免资源所有者流,因为规范非常明确,您不应该在不受信任的平台(如web浏览器)上使用它。谁是您的ODIC提供商?如果它是由你(或你的公司)控制的,那么你的用户已经用他们的密码信任你了。只要提供程序支持密码授予,您就可以使用资源所有者流,但是,如果您不控制OIDC提供程序,那么使用资源所有者流就是要求您的用户不必要地信任您的密码。大多数前端JS库将避免使用资源所有者流,因为规范非常明确,您不应在不受信任的平台(如web浏览器)上使用它。谁是您的ODIC提供程序?如果它是由你(或你的公司)控制的,那么你的用户已经用他们的密码信任你了。只要提供程序支持密码授权,您就可以使用资源所有者流,但如果您不控制OIDC提供程序,那么使用资源所有者流就是要求用户不必要地信任您的密码