Oauth 2.0 我可以为OAuth授权代码流使用客户端登录吗？_Oauth 2.0

Oauth 2.0 我可以为OAuth授权代码流使用客户端登录吗？

oauth-2.0

Oauth 2.0 我可以为OAuth授权代码流使用客户端登录吗？,oauth-2.0,Oauth 2.0,我看到的所有OAutt授权代码流示例都将用户发送到IDP服务器（Identity Provider Server）提供的特定登录页面我想知道登录页面是否可以在客户端上，比如通过应用程序或SPA？或者这是我没有意识到的不安全的事情。谢谢通常，正如您所说，重定向是标准的，但安全性也取决于所使用的凭据：如果用户是通过他们的谷歌密码登录的，那么你的应用绝对不会看到凭据，你应该总是重定向如果用户通过存储在X公司的密码登录，只访问存储在X公司的数据，并且该密码不用于任何其他目的，那么它就不那么糟糕

我看到的所有OAutt授权代码流示例都将用户发送到IDP服务器（Identity Provider Server）提供的特定登录页面

我想知道登录页面是否可以在客户端上，比如通过应用程序或SPA？或者这是我没有意识到的不安全的事情。谢谢

通常，正如您所说，重定向是标准的，但安全性也取决于所使用的凭据：

如果用户是通过他们的谷歌密码登录的，那么你的应用绝对不会看到凭据，你应该总是重定向
如果用户通过存储在X公司的密码登录，只访问存储在X公司的数据，并且该密码不用于任何其他目的，那么它就不那么糟糕了，因为该公司拥有所有涉及的资产

避免重定向的人通常会使用不推荐的流，例如。我会避免这种情况，因为它不会在安全审查中表现良好，并限制您未来的身份验证选项

为了安全起见，我建议坚持重定向模型，并使用身份管理系统供应商提供的登录方法

未来方向

有趣的是，当这有意义时，一些供应商正在形成一种趋势，即留在应用程序中。请参阅，这可能成为标准。这其中的一个关键特征是授权服务器继续管理安全性，并告诉应用程序该做什么。

谢谢您的回答。帮我把事情弄清楚！