【发布时间】:2018-07-08 02:44:51
【问题描述】:
我设置了一个 Spring OAuth2 服务器,当客户端进行身份验证时它工作正常。问题是,当客户端是浏览器时,访问令牌会显示在地址栏上的重定向 URL 上,并且浏览器会记住它。
身份验证服务器有没有办法在重定向的同时以更安全的方式发回访问令牌。
【问题讨论】:
-
你用的是隐式流,对吧?
-
是的,我正在使用它。
-
这是一个有角度的应用程序。这个想法是让所有浏览器客户端对身份验证服务器上的单个登录页面进行身份验证,然后使用令牌将其重定向回来。也许是标头内的那些令牌或其他东西。
-
没有办法改变它,规范在这一点上很清楚。您可以改为使用“代码”流,它在响应正文中返回访问令牌,而无需任何重定向。
-
问题在于,现在客户端必须将其凭据硬编码并可供所有人查看
标签: java spring oauth-2.0 spring-security-oauth2