Oauth 2.0 我可以为OAuth授权代码流使用客户端登录吗?

Oauth 2.0 我可以为OAuth授权代码流使用客户端登录吗?,oauth-2.0,Oauth 2.0,我看到的所有OAutt授权代码流示例都将用户发送到IDP服务器(Identity Provider Server)提供的特定登录页面 我想知道登录页面是否可以在客户端上,比如通过应用程序或SPA?或者这是我没有意识到的不安全的事情。谢谢通常,正如您所说,重定向是标准的,但安全性也取决于所使用的凭据: 如果用户是通过他们的谷歌密码登录的,那么你的应用绝对不会看到凭据,你应该总是重定向 如果用户通过存储在X公司的密码登录,只访问存储在X公司的数据,并且该密码不用于任何其他目的,那么它就不那么糟糕

我看到的所有OAutt授权代码流示例都将用户发送到IDP服务器(Identity Provider Server)提供的特定登录页面


我想知道登录页面是否可以在客户端上,比如通过应用程序或SPA?或者这是我没有意识到的不安全的事情。谢谢

通常,正如您所说,重定向是标准的,但安全性也取决于所使用的凭据:

  • 如果用户是通过他们的谷歌密码登录的,那么你的应用绝对不会看到凭据,你应该总是重定向
  • 如果用户通过存储在X公司的密码登录,只访问存储在X公司的数据,并且该密码不用于任何其他目的,那么它就不那么糟糕了,因为该公司拥有所有涉及的资产
避免重定向的人通常会使用不推荐的流,例如。我会避免这种情况,因为它不会在安全审查中表现良好,并限制您未来的身份验证选项

为了安全起见,我建议坚持重定向模型,并使用身份管理系统供应商提供的登录方法

未来方向


有趣的是,当这有意义时,一些供应商正在形成一种趋势,即留在应用程序中。请参阅,这可能成为标准。这其中的一个关键特征是授权服务器继续管理安全性,并告诉应用程序该做什么。

谢谢您的回答。帮我把事情弄清楚!