Rest 是否有一个适用于所有OAuth2的工作流,可以用于多种客户端类型?
我正在构建一个将由OAuth2保护的应用程序。我预期的用户类型如下: 基于浏览器的非机密java脚本客户端。我的Angular客户端应用程序 非机密本机应用程序客户端。我的iOS/android客户端应用程序 基于浏览器的第三方非机密java脚本客户端。在浏览器上运行的任何第三方JS应用程序 第三方非机密本机应用程序客户端。任何第三方iOS/android客户端应用程序 我的问题是: 是否有一种工作流/授权类型适用于我的上述4个用例? 如果不是,我应该考虑哪些工作流以覆盖上述4种情况?Rest 是否有一个适用于所有OAuth2的工作流,可以用于多种客户端类型?,rest,security,oauth-2.0,spring-security-oauth2,rest-security,Rest,Security,Oauth 2.0,Spring Security Oauth2,Rest Security,我正在构建一个将由OAuth2保护的应用程序。我预期的用户类型如下: 基于浏览器的非机密java脚本客户端。我的Angular客户端应用程序 非机密本机应用程序客户端。我的iOS/android客户端应用程序 基于浏览器的第三方非机密java脚本客户端。在浏览器上运行的任何第三方JS应用程序 第三方非机密本机应用程序客户端。任何第三方iOS/android客户端应用程序 我的问题是: 是否有一种工作流/授权类型适用于我的上述4个用例? 如果不是,我应该考虑哪些工作流以覆盖上述4种情况? 授权代码
授权代码授权类型可以涵盖您提到的所有用例。即使对于非机密的第三方JS应用程序,尽管隐式授权是为该用例设计的,但当前的建议似乎指向授权代码授权类型的方向。Hi Hans Z。感谢您的及时回答。您是否觉得使用授权码授权类型比隐式授权有任何明显的优势。据我所知,隐式流获取令牌所需的交换较少。在代码流中,访问令牌不在frontchannel中公开